• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

DSA-3561-1 subversion -- обновление безопасности

Главная Специалистам База уязвимостей DSA-3561-1 subversion -- обновление безопасности

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
subversion (any)
Описание
В Subversion, системе управления версиями, было обнаружено несколько
уязвимостей. Проект Common Vulnerabilities and Exposures определяет
следующие проблемы:

CVE-2016-2167
Дэниель Шахаф и Джеймс Маккой обнаружили, что ошибка реализации
    в коде аутентификации с использованием библиотеки Cyrus SASL может
    позволить удалённому пользователю определить строку поименованной области, являющуюся префиксом
    ожидаемой строки поименованной области, и потенциально позволяет пользователю
    выполнять аутентификацию с использованием неправильной поименованной области.
CVE-2016-2168
Иван Жаков из VisualSVN обнаружил удалённо вызываемый отказ
    в обслуживании в модуле mod_authz_svn при проверке авторизации COPY
    или MOVE. Аутентифицированный удалённый злоумышленник может
    использовать эту уязвимость для вызова отказа в обслуживании
    (аварийная остановка сервера Subversion) через запросы COPY или MOVE со специально
    сформированными заголовками.

В стабильном выпуске (jessie) эти проблемы были исправлены в
версии 1.8.10-6+deb8u4.
В нестабильном выпуске (sid) эти проблемы были исправлены в
версии 1.9.4-1.
Рекомендуется обновить пакеты subversion.
Как исправить
Проблема может быть решена обновлением операционной системы до следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 8:
noarch:
subversion - 1.8.10-6+deb8u4
Ссылки
http://www.debian.org/security/dsa-3561/

Источник: CVE
Наименование: CVE-2016-2167
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2167

Источник: CVE
Наименование: CVE-2016-2168
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2168