Risque

  • Exécution de code arbitraire à distance ;
  • déni de service.

Systèmes affectés

  • Les versions de CVS égales ou antérieures à la version 1.11.16 (branche stable) sont affectées ;
  • les versions de CVS égales ou antérieures à la version 1.12.8 (branche de développement) sont affectées.

Description

CVS (``Concurrent Versions System'') est un système client/serveur utilisé pour la gestion des versions de fichiers essentiellement textuels.


Un audit de code a révélé que de nombreuses vulnérabilités de type débordement de mémoire sont présentes dans le code du serveur CVS.

Un utilisateur mal intentionné peut utiliser ces vulnérabilités afin de réaliser un déni de service ou l'exécution de code arbitraire, à distance, sur une plate-forme vulnérable.

Solution

Les versions 1.11.17 ou 1.12.9 disponibles sur le site CVS (cf. section Documentation) corrigent ces vulnérabilités.

Documentation