Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
libapache2-mod-svn
(any)
libapache2-svn
(any)
libsvn1
(any)
libsvn-dev
(any)
libsvn-doc
(any)
libsvn-java
(any)
libsvn-perl
(any)
libsvn-ruby1.8
(any)
python-subversion
(any)
ruby-svn
(any)
subversion
(any)
subversion-dbg
(any)
subversion-tools
(any)
Описание
В Subversion, централизованной системе управления версиями, было обнаружено
несколько проблем.
CVE-2016-8734
(только jessie)
Серверный модуль Subversion, mod_dontdothat, и клиенты Subversion,
использующие http(s)://, уязвимы к отказу в обслуживании, вызываемому
экспоненциальным раскрытие сущностей XML.
CVE-2017-9800
Йорн Шнивайц обнаружил, что Subversion неправильно
обрабатывает специально сформированные URL вида svn+ssh://. Это позволяет
злоумышленнику запустить произвольные команды командной оболочки, например, с помощью
свойств svn:externals или при использовании svnsync sync.
В предыдущем стабильном выпуске (jessie) эти проблемы были исправлены
в версии 1.8.10-6+deb8u5.
В стабильном выпуске (stretch) эти проблемы были исправлены в
версии 1.9.5-1+deb9u1.
Рекомендуется обновить пакеты subversion.
несколько проблем.
CVE-2016-8734
(только jessie)
Серверный модуль Subversion, mod_dontdothat, и клиенты Subversion,
использующие http(s)://, уязвимы к отказу в обслуживании, вызываемому
экспоненциальным раскрытие сущностей XML.
CVE-2017-9800
Йорн Шнивайц обнаружил, что Subversion неправильно
обрабатывает специально сформированные URL вида svn+ssh://. Это позволяет
злоумышленнику запустить произвольные команды командной оболочки, например, с помощью
свойств svn:externals или при использовании svnsync sync.
В предыдущем стабильном выпуске (jessie) эти проблемы были исправлены
в версии 1.8.10-6+deb8u5.
В стабильном выпуске (stretch) эти проблемы были исправлены в
версии 1.9.5-1+deb9u1.
Рекомендуется обновить пакеты subversion.
Как исправить
Проблема может быть решена обновлением операционной системыдо следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 9:
noarch:
libapache2-mod-svn - 1.9.5-1+deb9u1
libsvn-dev - 1.9.5-1+deb9u1
libsvn-doc - 1.9.5-1+deb9u1
libsvn-java - 1.9.5-1+deb9u1
libsvn-perl - 1.9.5-1+deb9u1
libsvn1 - 1.9.5-1+deb9u1
python-subversion - 1.9.5-1+deb9u1
ruby-svn - 1.9.5-1+deb9u1
subversion - 1.9.5-1+deb9u1
subversion-tools - 1.9.5-1+deb9u1
Debian GNU/Linux 8:
noarch:
libapache2-mod-svn - 1.8.10-6+deb8u5
libapache2-svn - 1.8.10-6+deb8u5
libsvn-dev - 1.8.10-6+deb8u5
libsvn-doc - 1.8.10-6+deb8u5
libsvn-java - 1.8.10-6+deb8u5
libsvn-perl - 1.8.10-6+deb8u5
libsvn-ruby1.8 - 1.8.10-6+deb8u5
libsvn1 - 1.8.10-6+deb8u5
python-subversion - 1.8.10-6+deb8u5
ruby-svn - 1.8.10-6+deb8u5
subversion - 1.8.10-6+deb8u5
subversion-dbg - 1.8.10-6+deb8u5
subversion-tools - 1.8.10-6+deb8u5
Debian GNU/Linux 9:
noarch:
libapache2-mod-svn - 1.9.5-1+deb9u1
libsvn-dev - 1.9.5-1+deb9u1
libsvn-doc - 1.9.5-1+deb9u1
libsvn-java - 1.9.5-1+deb9u1
libsvn-perl - 1.9.5-1+deb9u1
libsvn1 - 1.9.5-1+deb9u1
python-subversion - 1.9.5-1+deb9u1
ruby-svn - 1.9.5-1+deb9u1
subversion - 1.9.5-1+deb9u1
subversion-tools - 1.9.5-1+deb9u1
Debian GNU/Linux 8:
noarch:
libapache2-mod-svn - 1.8.10-6+deb8u5
libapache2-svn - 1.8.10-6+deb8u5
libsvn-dev - 1.8.10-6+deb8u5
libsvn-doc - 1.8.10-6+deb8u5
libsvn-java - 1.8.10-6+deb8u5
libsvn-perl - 1.8.10-6+deb8u5
libsvn-ruby1.8 - 1.8.10-6+deb8u5
libsvn1 - 1.8.10-6+deb8u5
python-subversion - 1.8.10-6+deb8u5
ruby-svn - 1.8.10-6+deb8u5
subversion - 1.8.10-6+deb8u5
subversion-dbg - 1.8.10-6+deb8u5
subversion-tools - 1.8.10-6+deb8u5
Ссылки
http://www.debian.org/security/dsa-3932/
Источник: CVE
Наименование: CVE-2017-9800
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-9800
Источник: CVE
Наименование: CVE-2016-8734
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-8734
Источник: CVE
Наименование: CVE-2017-9800
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-9800
Источник: CVE
Наименование: CVE-2016-8734
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-8734