S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 30 septembre 2004
N° CERTA-2004-AVI-329
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilité dans Subversion

Gestion du document

Référence CERTA-2004-AVI-329
Titre Vulnérabilité dans Subversion
Date de la première version30 septembre 2004
Date de la dernière version08 octobre 2004
Source(s) Bulletin de sécurité Subversion
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Contournement de la politique de sécurité

Systèmes affectés

  • les versions candidates 1.1-rc1, rc2 et rc3.
  • Toutes les versions de Subversion antérieures à 1.0.7 incluse ;

Résumé

Une vulnérabilité du module Apache mod_authz_svn de Subversion permet à un utilisateur mal intentionné de contourner la politique de sécurité mise en place par l'administrateur.

Description

Subversion est un système de contrôle des versions de fichier, ajoutant des fonctionnalités à CVS (Concurrent Versions System) telle la possibilité de copier, déplacer ou effacer des fichiers ou répertoires. Un serveur Subversion peut être mis en place à partir d'un module Apache, d'un service autonome (svnserver) ou à la demande encapsulé dans le protocole SSH. Le module Apache mod_authz_svn limite les accès aux répertoires gérés par Subversion. Une vulnérabilité présente dans le module Apache mod_authz_svn permet à un utilisateur mal intentionné d'accéder à des répertoires dont les droits restreignent l'accès.

Solution

Mettre à jour Subversion avec la version 1.0.8 ou 1.1.0-rc4 :

http://subversion.tigris.org/project_packages.html

Documentation

Gestion détaillée du document

    le 30 septembre 2004
    version initiale.
    le 08 octobre 2004
    ajout référence au bulletin de sécurité de Gentoo.