S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 08 décembre 2004
N° CERTA-2004-AVI-390
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilité de viewcvs

Gestion du document

Référence CERTA-2004-AVI-390
Titre Vulnérabilité de viewcvs
Date de la première version08 décembre 2004
Date de la dernière version08 décembre 2004
Source(s) Bulletin de sécurité Debian DSA-605 du 06 décembre 2004
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Divulgation d'informations

Systèmes affectés

Toutes les versions de viewcvs.

Résumé

Plusieurs vulnérabilités dans viewcvs permettent à un utilisateur mal intentionné d'accéder à des informations non autorisées.

Description

viewcvs est un outil permettant de visualiser des répertoires CVS ou subversion via le protocole HTTP.
Les options hide_cvsroot et forbidden ne sont pas traitées correctement ce qui permet à un utilisateur mal intentionné de contourner la politique de sécurité et d'accéder à des informations non autorisées.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 08 décembre 2004
    version initiale.