Risque

Créations de répertoires et fichiers arbitraires.

Systèmes affectés

Tout système hébergeant un serveur CVS en version 1.11.9 et antérieures.

Résumé

Il est possible de demander au serveur CVS de tenter de créer des répertoires et éventuellement des fichiers dans la racine du système hôte.

Description

CVS est un système client/serveur de contrôle de versions. Il est en particulier utilisé pour gérer les sources des logiciels en développement. Un utilisateur mal intentionné peut envoyer des requêtes malicieuses qui seront mal interprétées par le serveur qui tentera alors de créer des fichiers en dehors de son arborescence.

Contournement provisoire

Les droits de la racine ne permettent usuellement pas au compte utilisateur du serveur CVS de créer des fichiers. Vérifier que c'est le cas et éventuellement modifier les droits.

Solution

Mettre à jour.

Documentation

Référence CVE CAN-2003-0977 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0977