Risques

  • Déni de service
  • Exécution de code arbitraire à distance

Systèmes affectés

Concurent Versions System (CVS) version 1.12.12 et versions antérieures.

Description

Deux vulnérabilités ont été identifiées dans CVS. Ces vulnérabilités sont dues à des erreurs au niveau de la bibliothèque zlib (cf. avis du CERTA : CERTA-2005-AVI-276).

L'exploitation de ces deux vulnérabilités permettent à un utilisateur distant mal intentionné d'exécuter du code arbitraire ou de provoquer un déni de service.

Solution

La version 1.12.13 de CVS corrige ces vulnérabilités.

Documentation