漏洞信息详情

CVS Server远程信息泄露漏洞

  • CNNVD编号:CNNVD-200406-025
  • 危害等级: 中危
  • CVE编号: CVE-2004-0405
  • 漏洞类型: 访问验证错误
  • 发布时间: 2004-04-22
  • 威胁类型: 远程
  • 更新时间: 2005-10-28
  • 厂        商: cvs
  • 漏洞来源: Derek Robert Price

漏洞简介

Concurrent Versions System (CVS)是一款开放源代码的版本控制软件。 CVS服务器在接收来自客户端的相对路径名处理时存在问题,远程攻击者可以利用这个漏洞查看服务器上部分文件内容。 当CVS服务器在接收客户端提供的包含\'\'../\'\'字符的相对路径名时,可绕过CVS ROOT目录,查看系统中部分文件内容。

漏洞公告

厂商补丁: CVS --- 目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

CVS CVS 1.11:

CVS Upgrade cvs-1.11.15.tar.gz

http://ccvs.cvshome.org/servlets/ProjectDownloadList?action=download&dlID=466

CVS Upgrade cvs-1.12.7.tar.gz

http://ccvs.cvshome.org/servlets/ProjectDownloadList?action=download&dlID=468 Debian ------ http://www.debian.org/security/2004/dsa-486 FreeBSD ------- FreeBSD已经为此发布了一个安全公告(FreeBSD-SA-04:07)以及相应补丁:

FreeBSD-SA-04:07:CVS path validation errors

链接:ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-04:07.cvs.asc

CNNVD建议您执行以下步骤之一:

1) 将有漏洞的系统升级到4-STABLE,或修订日期后的_5_2,RELENG_4_9或RELENG_4_8

安全版本。

2) 为当前系统打补丁:

已验证下列补丁可应用于FreeBSD 4.8, 4.9, 5.1和5.2系统。

a) 从以下位置下载相关补丁,并使用PGP工具验证附带的PGP签名。

# fetch ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/patches/SA-04:07/cvs.patch

# fetch ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/patches/SA-04:07/cvs.patch.asc

b) 以root执行以下命令:

# cd /usr/src

# patch < /path/to/patch

# cd /usr/src/gnu/usr.bin/cvs

# make obj && make depend && make && make install

参考网址

来源: DEBIAN 名称: DSA-486 链接:http://www.debian.org/security/2004/dsa-486 来源: FEDORA 名称: FEDORA-2004-1620 链接:http://marc.theaimsgroup.com/?l=bugtraq&m=108636445031613&w=2 来源: SGI 名称: 20040404-01-U 链接:ftp://patches.sgi.com/support/free/security/advisories/20040404-01-U.asc 来源: FREEBSD 名称: FreeBSD-SA-04:07 链接:ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-04:07.cvs.asc 来源: OVAL 名称: oval:org.mitre.oval:def:10818 链接:http://oval.mitre.org/repository/data/getDef?id=oval:org.mitre.oval:def:10818 来源: XF 名称: cvs-dotdot-directory-traversal(15891) 链接:http://xforce.iss.net/xforce/xfdb/15891 来源: SLACKWARE 名称: SSA:2004-108-02 链接:http://www.slackware.com/security/viewer.php?l=slackware-security&y=2004&m=slackware-security.400181 来源: GENTOO 名称: GLSA-200404-13 链接:http://security.gentoo.org/glsa/glsa-200404-13.xml 来源: US Government Resource: oval:org.mitre.oval:def:1060 名称: oval:org.mitre.oval:def:1060 链接:http://oval.mitre.org/repository/data/getDef?id=oval:org.mitre.oval:def:1060

受影响实体

补丁

    暂无

漏洞信息快速查询

相关漏洞

更多