• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

DSA-3932-1 subversion -- обновление безопасности

Главная Специалистам База уязвимостей DSA-3932-1 subversion -- обновление безопасности

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
Описание
В Subversion, централизованной системе управления версиями, было обнаружено
несколько проблем.

CVE-2016-8734
(только jessie)
    Серверный модуль Subversion, mod_dontdothat, и клиенты Subversion,
    использующие http(s)://, уязвимы к отказу в обслуживании, вызываемому
    экспоненциальным раскрытие сущностей XML.
CVE-2017-9800
    Йорн Шнивайц обнаружил, что Subversion неправильно
    обрабатывает специально сформированные URL вида svn+ssh://. Это позволяет
    злоумышленнику запустить произвольные команды командной оболочки, например, с помощью
    свойств svn:externals или при использовании svnsync sync.

В предыдущем стабильном выпуске (jessie) эти проблемы были исправлены
в версии 1.8.10-6+deb8u5.
В стабильном выпуске (stretch) эти проблемы были исправлены в
версии 1.9.5-1+deb9u1.
Рекомендуется обновить пакеты subversion.
Как исправить
Проблема может быть решена обновлением операционной системыдо следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 9:
noarch:
libapache2-mod-svn - 1.9.5-1+deb9u1
libsvn-dev - 1.9.5-1+deb9u1
libsvn-doc - 1.9.5-1+deb9u1
libsvn-java - 1.9.5-1+deb9u1
libsvn-perl - 1.9.5-1+deb9u1
libsvn1 - 1.9.5-1+deb9u1
python-subversion - 1.9.5-1+deb9u1
ruby-svn - 1.9.5-1+deb9u1
subversion - 1.9.5-1+deb9u1
subversion-tools - 1.9.5-1+deb9u1
Debian GNU/Linux 8:
noarch:
libapache2-mod-svn - 1.8.10-6+deb8u5
libapache2-svn - 1.8.10-6+deb8u5
libsvn-dev - 1.8.10-6+deb8u5
libsvn-doc - 1.8.10-6+deb8u5
libsvn-java - 1.8.10-6+deb8u5
libsvn-perl - 1.8.10-6+deb8u5
libsvn-ruby1.8 - 1.8.10-6+deb8u5
libsvn1 - 1.8.10-6+deb8u5
python-subversion - 1.8.10-6+deb8u5
ruby-svn - 1.8.10-6+deb8u5
subversion - 1.8.10-6+deb8u5
subversion-dbg - 1.8.10-6+deb8u5
subversion-tools - 1.8.10-6+deb8u5
Ссылки
http://www.debian.org/security/dsa-3932/

Источник: CVE
Наименование: CVE-2017-9800
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-9800

Источник: CVE
Наименование: CVE-2016-8734
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-8734