GLSA 200504-16: CVS: Multiple vulnerabilities

Опасность:высокая
Заголовок:CVS: Multiple vulnerabilities
Дата:18.04.2005
Ошибки: #86476, #89579
ID:200504-16

Сводка

Several serious vulnerabilities have been found in CVS, which may allow an attacker to remotely compromise a CVS server or cause a DoS.

Назначение

CVS (Concurrent Versions System) is an open-source network-transparent version control system. It contains both a client utility and a server.

Уязвимые пакеты

Пакет Уязвимый Нетронутый Архитектура(ы)
dev-util/cvs < 1.11.20 >= 1.11.20 All supported architectures

Описание

Alen Zukich has discovered several serious security issues in CVS, including at least one buffer overflow (CAN-2005-0753), memory leaks and a NULL pointer dereferencing error. Furthermore when launching trigger scripts CVS includes a user controlled directory.

Воздействие

An attacker could exploit these vulnerabilities to cause a Denial of Service or execute arbitrary code with the permissions of the CVS pserver or the authenticated user (depending on the connection method used).

Обход

There is no known workaround at this time.

Решение

All CVS users should upgrade to the latest version:

    # emerge --sync
    # emerge --ask --oneshot --verbose ">=dev-util/cvs-1.11.20"

Ссылки

Наличие

Этот GLSA и любые обновления для нее доступны для просмотра на сайте Gentoo Security: http://security.gentoo.org/glsa/glsa-200504-16.xml

Опасения?

Безопасность является одной из главных задач Gentoo Linux и первостепенное значение обеспечить конфиденциальность и безопасность машин наших пользователей. Любые соображения безопасности должны быть адресованы security@gentoo.org или в качестве альтернативы, вы можете сообщить об ошибке на https://bugs.gentoo.org.

Лицензия

Copyright 2010 Gentoo Foundation, Inc; текст ссылки принадлежит его владельцу(ам). Содержание этого документа распространяется на условиях лицензии Creative Commons - Attribution / Share Alike.

Спасибо!