S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 21 janvier 2003
N° CERTA-2003-AVI-008-002
Affaire suivie par: CERT-FR
le 21 janvier 2003

Avis du CERT-FR

Objet: Vulnérabilité de CVS

Gestion du document

Référence CERTA-2003-AVI-008-002
Titre Vulnérabilité de CVS
Date de la première version 21 janvier 2003
Date de la dernière version 07 février 2003
Source(s) Bulletin de sécurité "CVS remote vulnerability" d'e-matters
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Elévation de privilèges ;
  • exécution de code arbitraire à distance.

Systèmes affectés

Les versions de CVS égales ou antérieures à la version 1.11.4 sont affectées.

Résumé

Une vulnérabilité de type débordement de mémoire présente dans CVS (Concurrent Versions System) peut être exploitée par un utilisateur mal intentionné afin d'exécuter du code arbitraire à distance sur une machine hébergeant un serveur CVS vulnérable.

Description

CVS est un outil dédié à la gestion des codes sources.

Par le biais d'un nom de répertoire habilement constitué, un utilisateur mal intentionné peut exploiter une vulnérabilité présente dans le serveur CVS afin de réaliser une élévation de privilèges.

Via les commandes Update-prog et Checkin-prog du serveur CVS, il est alors possible d'exécuter des commandes avec les privilèges du serveur CVS.

Cette vulnérabilité est exploitable sans authentification préalable sur des serveurs CVS offrant des connexions anonymes, même si l'accès n'est autorisé qu'en lecture seule.

Solution

La version 1.11.5 de CVS corrige cette vulnérabilité.

Documentation

Gestion détaillée du document

    le 21 janvier 2003
    version initiale.
    le 23 janvier 2003
    ajout références aux avis de SuSE et du CERT/CC.
    le 07 février 2003
    ajout références aux avis de FreeBSD et de SUN.