13 Ocak 2004 tarihinde raporlanmis guvenlik duyurusuna gore,
Rapor Tarihi:
13 Ocak 2004
Etkilenen Paketler:
cvs
Guvenlik veritababi referansi:
Harici diger veritabani güvenlik referansi su an mevcut degil.
Ek bilgi:
CVS pserver'in hesap yonetimi (CVS repositorylere uzak erisim vermek
icin kullaniliyor)
herbir repository icin pserver kullanildigi zaman hangi yerel UNIX
hesabinin
kullanilacagi gibi bilgilerin yaninda hesaplar ve onlarin dogrulama
bilgilerinin
tutuldugu CVSROOT/passwd dosyasini kullanir. CVS'in hangi UNIX
hesabinin belirtildigi
konusunda bir kontrol yapmamasindan dolayi, CVSROOT/passwd dosyasini
degistirebilen herkes
CVS sunucusundaki butun yerel kullanici hesaplarina erisim
kazanabilmektedir - root dahil -.
Bu hata 1.11.11 bir ust versiyonda pserver'in root haklariyla calismasi
engellenerek
duzeltildi. Debian icin bu problem 1.11.1p1debian-9 versiyonunda iki
degisik sekilde
cozuldu:
* pserver'in artik repositorylere ulasirken root haklarini kullanmasi
engellendi.
* bir repository'e ulasirken sistem yoneticileri tarafindan kullanilan
UNIX
hesaplarini tekrar etkinsizlestirmek icin yeni bir /etc/cvs-repouid
saglandi.
Bu degisiklik ile ilgili daha fazla bilgiye
http://www.wiggy.net/code/cvs-repouid/'den
ulasabilirsiniz.
Ek olarak, CVS pserver'in bir repository'nin disarisinda dizin ve dosya
olusturmak icin
kullanilabilecek modul isteklerini yorumlamak ile ilgili bir hatasi
vardi. Bu 1.11.11 ust
versiyonda ve Debian 1.11.1p1debian-9 versiyonunda duzeltildi.
Sonuc olarak, repositorylerin grup yazma haklariyla yaratilmasinin
engellenmesi dogrultusunda
"cvs init" ve "cvs-makerepos" icin kullanilan `umask` degeri
degistirildi.
Debian GNU/Linux 3.0 (kararli)
Kaynak:
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian.orig.tar.gz
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9.diff.gz
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9.dsc
Alpha:
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_alpha.deb
ARM:
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_arm.deb
HP Precision:
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_hppa.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_ia64.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_m68k.deb
Big-endian MIPS:
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_mips.deb
Little-endian MIPS:
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_sparc.deb
Listelenmis dosyalarin MD5 checksum'lari
http://lists.debian.org/debian-security-announce/debian-security-announce-2004/msg00017.html'de,
orjinal duyuru'da, mevcuttur.
pgpStSTnC5f8e.pgp
Description: PGP signature
