int(1547)

Vulnerability Bulletins

Múltiples vulnerabilidades en el paquete cvs distribuido con Debian

Vulnerability classification
Property Value
Confidence level Oficial
Impact Obtener acceso
Dificulty Experto
Required attacker level Acceso remoto sin cuenta a un servicio estandar

System information
Property Value
Affected manufacturer GNU/Linux
Affected software cvs / Debian

Description
Se han descubierto dos vulnerabilidades en el paquete cvs incluido con la distribución Debian 3.0. Las vulnerabilidades son descritas a continuación:

- CAN-2004-1342: Un error de validación de acceso en el método de acceso pserver cuando se utiliza el parche repouid que Debian usa podría permitir a un atacante remoto obtener acceso al repositorio.

- CAN-2004-1343: Vulnerabilidad cuando el archivo cvs-repouids existe pero no contiene un mapeado para el repositorio en uso podría permitir a un atacante remoto provocar una situación de denegación de servicio del servidor cvs.

Solution


Actualización de software

Debian Linux

Debian Linux 3.0
Source
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-10.dsc
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-10.diff.gz
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian.orig.tar.gz
Alpha
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-10_alpha.deb
ARM
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-10_arm.deb
Intel IA-32
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-10_i386.deb
Intel IA-64
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-10_ia64.deb
HP Precision
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-10_hppa.deb
Motorola 680x0
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-10_m68k.deb
Big endian MIPS
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-10_mips.deb
Little endian MIPS
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-10_mipsel.deb
PowerPC
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-10_powerpc.deb
IBM S/390
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-10_s390.deb
Sun Sparc
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-10_sparc.deb

Standar resources
Property Value
CVE CAN-2004-1342
CAN-2004-1343
BID

Other resources
Debian Security Advisory DSA 715-1
http://lists.debian.org/debian-security-announce/debian-security-announce-2005/msg00097.html

Version history
Version Comments Date
1.0 Aviso emitido 2005-04-27
Ministerio de Defensa
CNI
CCN
CCN-CERT