Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
subversion
(any)
Описание
В Subversion, системе управления версиями, было обнаружено несколько
уязвимостей. Проект Common Vulnerabilities and Exposures определяет
следующие проблемы:
CVE-2016-2167
Дэниель Шахаф и Джеймс Маккой обнаружили, что ошибка реализации
в коде аутентификации с использованием библиотеки Cyrus SASL может
позволить удалённому пользователю определить строку поименованной области, являющуюся префиксом
ожидаемой строки поименованной области, и потенциально позволяет пользователю
выполнять аутентификацию с использованием неправильной поименованной области.
CVE-2016-2168
Иван Жаков из VisualSVN обнаружил удалённо вызываемый отказ
в обслуживании в модуле mod_authz_svn при проверке авторизации COPY
или MOVE. Аутентифицированный удалённый злоумышленник может
использовать эту уязвимость для вызова отказа в обслуживании
(аварийная остановка сервера Subversion) через запросы COPY или MOVE со специально
сформированными заголовками.
В стабильном выпуске (jessie) эти проблемы были исправлены в
версии 1.8.10-6+deb8u4.
В нестабильном выпуске (sid) эти проблемы были исправлены в
версии 1.9.4-1.
Рекомендуется обновить пакеты subversion.
уязвимостей. Проект Common Vulnerabilities and Exposures определяет
следующие проблемы:
CVE-2016-2167
Дэниель Шахаф и Джеймс Маккой обнаружили, что ошибка реализации
в коде аутентификации с использованием библиотеки Cyrus SASL может
позволить удалённому пользователю определить строку поименованной области, являющуюся префиксом
ожидаемой строки поименованной области, и потенциально позволяет пользователю
выполнять аутентификацию с использованием неправильной поименованной области.
CVE-2016-2168
Иван Жаков из VisualSVN обнаружил удалённо вызываемый отказ
в обслуживании в модуле mod_authz_svn при проверке авторизации COPY
или MOVE. Аутентифицированный удалённый злоумышленник может
использовать эту уязвимость для вызова отказа в обслуживании
(аварийная остановка сервера Subversion) через запросы COPY или MOVE со специально
сформированными заголовками.
В стабильном выпуске (jessie) эти проблемы были исправлены в
версии 1.8.10-6+deb8u4.
В нестабильном выпуске (sid) эти проблемы были исправлены в
версии 1.9.4-1.
Рекомендуется обновить пакеты subversion.
Как исправить
Проблема может быть решена обновлением операционной системы до следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 8:
noarch:
subversion - 1.8.10-6+deb8u4
Debian GNU/Linux 8:
noarch:
subversion - 1.8.10-6+deb8u4
Ссылки
http://www.debian.org/security/dsa-3561/
Источник: CVE
Наименование: CVE-2016-2167
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2167
Источник: CVE
Наименование: CVE-2016-2168
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2168
Источник: CVE
Наименование: CVE-2016-2167
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2167
Источник: CVE
Наименование: CVE-2016-2168
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2168