LinuxSir.cn,穿越时空的Linuxsir!

 找回密码
 注册
搜索
热搜: shell linux mysql
查看: 625|回复: 0

CVS Server 版本控制软件 存在远程信息泄露漏洞

[复制链接]
发表于 2004-5-16 20:45:42 | 显示全部楼层 |阅读模式
bj.cyberpolice.cn 2004-4-28 14:06:00

受影响系统:

CVS CVS 12.2
CVS CVS 12.1
CVS CVS 1.11.6
CVS CVS 1.11.5
CVS CVS 1.11.4
CVS CVS 1.11.3
CVS CVS 1.11.2
CVS CVS 1.11.14
CVS CVS 1.11.11
CVS CVS 1.11.10
CVS CVS 1.11
CVS CVS 1.10.8
CVS CVS 1.10.7
CVS CVS 1.11.1p1
    - Debian Linux 3.0
    - OpenBSD 3.2
    - OpenBSD 3.1
    - RedHat Linux 7.3
    - RedHat Linux 7.2
    - RedHat Linux 7.1
    - RedHat Linux 7.0
    - RedHat Linux 6.2
    - SuSE Linux 8.1
    - SuSE Linux 8.0

不受影响系统:

CVS CVS 12.7
CVS CVS 1.11.15

详细描述:

Concurrent Versions System (CVS)是一款开放源代码的版本控制软件。CVS服务器在接收来自客户端的相对路径名处理时存在问题,远程攻击者可以利用这个漏洞可导致查看服务器上部分文件内容。

当CVS服务器在接收客户端提供的包含'../'字符的相对路径名时,可绕过CVS ROOT目录,查看系统中部分文件内容。

补丁下载:

CVS CVS 1.11:

CVS Upgrade cvs-1.11.15.tar.gz
http://ccvs.cvshome.org/servlets ... wnload&dlID=466

CVS Upgrade cvs-1.12.7.tar.gz
http://ccvs.cvshome.org/servlets ... wnload&dlID=468

Debian
------
Debian已经为此发布了一个安全公告(DSA-486-1)以及相应补丁:
DSA-486-1:New cvs packages fix multiple vulnerabilities
链接:http://www.debian.org/security/2002/dsa-486
您需要登录后才可以回帖 登录 | 注册

本版积分规则

快速回复 返回顶部 返回列表