Vulnérabilité de viewcvs

Gestion du document

Référence	CERTA-2004-AVI-390
Titre	Vulnérabilité de viewcvs
Date de la première version	08 décembre 2004
Date de la dernière version	08 décembre 2004
Source(s)	Bulletin de sécurité Debian DSA-605 du 06 décembre 2004
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Risque

Divulgation d'informations.

Systèmes affectés

Toutes les versions de viewcvs.

Résumé

Plusieurs vulnérabilités dans viewcvs permettent à un utilisateur mal intentionné d'accéder à des informations non autorisées.

Description

viewcvs est un outil permettant de visualiser des répertoires CVS ou subversion via le protocole HTTP.
Les options hide_cvsroot et forbidden ne sont pas traitées correctement ce qui permet à un utilisateur mal intentionné de contourner la politique de sécurité et d'accéder à des informations non autorisées.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Site Internet de viewcvs :
```
http://viewcvs.sourceforge.net
```
Bulletin de sécurité Debian DSA-605 du 06 décembre 2004 :
```
http://www.debian.org/security/2004/dsa-605
```
Bulletin de sécurité FreeBSD pour viewcvs du 08 décembre 2004 :
```
http://www.vuxml.org/freebsd/
```

Référence CVE CAN-2004-0915 :

https://www.cve.org/CVERecord?id=CAN-2004-0915

Avis du CERT-FR

Objet: Vulnérabilité de viewcvs