Risques
- Déni de service
- Exécution de code arbitraire à distance
Systèmes affectés
- Les versions de CVS égales ou antérieures à la version 1.11.16 (branche stable) sont affectées ;
- les versions de CVS égales ou antérieures à la version 1.12.8 (branche de développement) sont affectées.
Description
CVS (``Concurrent Versions System'') est un système client/serveur utilisé pour la gestion des versions de fichiers essentiellement textuels.
Un audit de code a révélé que de nombreuses vulnérabilités de type débordement de mémoire sont présentes dans le code du serveur CVS.
Un utilisateur mal intentionné peut utiliser ces vulnérabilités afin de réaliser un déni de service ou l'exécution de code arbitraire, à distance, sur une plate-forme vulnérable.
Solution
Les versions 1.11.17 ou 1.12.9 disponibles sur le site CVS (cf. section Documentation) corrigent ces vulnérabilités.
Documentation
- Avis de sécurité DSA-517 de Debian du 10 juin 2004 : http://www.debian.org/security/2004/dsa-517
- Avis de sécurité DSA-519 de Debian du 15 juin 2004 : http://www.debian.org/security/2004/dsa-519
- Avis de sécurité GLSA-200406-06 de Gentoo du 10 juin 2004 : http://www.gentoo.org/security/en/glsa/glsa-200406-06.xml
- Avis de sécurité OpenBSD pour CVS du 09 juin 2004 : http://www.openbsd.org/errata.html
- Avis de sécurité d'eMatters : http://security.e-matters.de/advisories/092004.html
- Bulletin de sécurité MDKSA-2004:058 de Mandrake du 09 juin 2004 : http://www.mandrakesecure.net/en/advisories/advisory.php?name=MDKSA-2004:058
- Bulletin de sécurité RHSA-2004:233 de Red Hat du 09 juin 2004 : http://rhn.redhat.com/errata/RHSA-2004-233.html
- Bulletin de sécurité SuSE-SA:2004:015 de SuSE du 09 juin 2004 : http://www.suse.com/de/security/2004_15_cvs.html
- Mise à jour de sécurité du paquetage NetBSD cvs : ftp://ftp.netbsd.org/pub/NetBSD/packages/pkgsrc/devel/cvs/README.html
- site Internet de CVS : http://www.cvshome.org
