Vulnerabilidades en paquetes de CVS
|
Clasificación de la vulnerabilidad
|
Propiedad |
Valor |
Nivel de Confianza |
Oficial |
Impacto |
Integridad |
Dificultad |
Experto |
Requerimientos del atacante |
Acceso remoto con cuenta |
Información sobre el sistema
|
Propiedad |
Valor |
Fabricant afectat |
GNU/Linux |
Software afectado |
CVS version < 1.11.10 |
Descripción
|
CVS es un sistema de control de versiones frecuentemente usado para manejar repositorios de código fuente
Se ha encontrado una vulnerabilidad en versiones de CVS anteriores a la 1.11.10. La explotación de la misma permite que una petición malformada lleve al servidor CVS a crear archivos o directorios en la raíz del sistema de ficheros. Sin embargo, los permisos normales del sistema de ficheros prevendrían la creación de estos directorios al nivel de root. |
Solución
|
Si lo desea, aplique los mecanismos de actualización propios de su distribución, o bien baje las fuentes del software y compílelo usted mismo.
Actualización de software
CVS
CVS 1.11.10
http://www.cvshome.org
RedHat Linux
Red Hat Linux 9
SRPMS:
ftp://updates.redhat.com/9/en/os/SRPMS/cvs-1.11.2-13.src.rpm
Arquitectura i386:
ftp://updates.redhat.com/9/en/os/i386/cvs-1.11.2-13.i386.rpm
Mandrake Linux
Mandrake Linux 9.0
i386
ftp://ftp.rediris.es/mirror/mandrake/updates/9.0/RPMS/cvs-1.11.10-0.1.90mdk.i586.rpm
ftp://ftp.rediris.es/mirror/mandrake/updates/9.0/SRPMS/cvs-1.11.10-0.1.90mdk.src.rpm
Mandrake Linux 9.1
i386
ftp://ftp.rediris.es/mirror/mandrake/updates/9.1/RPMS/cvs-1.11.10-0.1.91mdk.i586.rpm
ftp://ftp.rediris.es/mirror/mandrake/updates/9.1/SRPMS/cvs-1.11.10-0.1.91mdk.src.rpm
PPC
ftp://ftp.rediris.es/mirror/mandrake/updates/ppc/9.1/RPMS/cvs-1.11.10-0.1.91mdk.ppc.rpm
ftp://ftp.rediris.es/mirror/mandrake/updates/ppc/9.1/SRPMS/cvs-1.11.10-0.1.91mdk.src.rpm
Mandrake Linux 9.2
i386
ftp://ftp.rediris.es/mirror/mandrake/updates/9.2/RPMS/cvs-1.11.10-0.1.92mdk.i586.rpm
ftp://ftp.rediris.es/mirror/mandrake/updates/9.2/SRPMS/cvs-1.11.10-0.1.92mdk.src.rpm
Corporate Server 2.1
i386
ftp://ftp.rediris.es/mirror/mandrake/updates/corporate/2.1/RPMS/cvs-1.11.10-0.1.C21mdk.i586.rpm
ftp://ftp.rediris.es/mirror/mandrake/updates/corporate/2.1/SRPMS/cvs-1.11.10-0.1.C21mdk.src.rpm
x86_64
ftp://ftp.rediris.es/mirror/mandrake/updates/x86_64/corporate/2.1/RPMS/cvs-1.11.10-0.1.C21mdk.x86_64.rpm
ftp://ftp.rediris.es/mirror/mandrake/updates/x86_64/corporate/2.1/SRPMS/cvs-1.11.10-0.1.C21mdk.src.rpm
Debian Linux
Debian Linux 3.0
Fuentes
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian.orig.tar.gz
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9.diff.gz
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9.dsc
Alpha
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_alpha.deb
ARM
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_arm.deb
HP Precision
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_hppa.deb
Intel IA-32
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_i386.deb
Intel IA-64
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_ia64.deb
Motorola 680x0
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_m68k.deb
Big-endian MIPS
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_mips.deb
Little-endian MIPS
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_mipsel.deb
PowerPC
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_powerpc.deb
IBM S/390
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_s390.deb
Sun Sparc
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_sparc.deb |
Identificadores estándar
|
Propiedad |
Valor |
CVE |
CAN-2003-0977 |
BID |
NULL |
Recursos adicionales
|
RedHat Security Advisory RHSA-2004:003-04
https://rhn.redhat.com/errata/RHSA-2004-003.html
Mandrake Security Advisory MDKSA-2003:112
http://www.mandrakesecure.net/en/advisories/advisory.php?name=MDKSA-2003:112
Debian Security Advisory DSA-422
http://www.debian.org/security/2004/dsa-422 |