Risques
- Contournement de la politique de sécurité
- Déni de service à distance
Systèmes affectés
Apache Subversion, versions antérieures à la version 1.6.15.
Résumé
Plusieurs vulnérabilités, présentes dans Apache Subversion, permettent à un utilisateur malveillant de contourner la politique de sécurité ou de provoquer un déni de service à distance.
Description
Deux vulnérabilités dans Apache Subversion permettent à un utilisateur authentifié de contourner des restrictions d'accès et d'obtenir des informations sans y être autorisé.
Deux autres vulnérabilités permettent à un utilisateur distant authentifié de provoquer un déni de service par le biais d'une corruption de la mémoire ou d'un épuisement de ressources système.
Solution
La version Apache Subversion 1.6.15 remédie à ces vulnérabilités.
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Fedora FEDORA-2011-0099 du 18 janvier 2011 : http://http://lists.fedoraproject.org/pipermail/package-announce/2011-January/053230.html
- Bulletin de sécurité Mandriva MDVSA-2011:006 du 14 janvier 2011 : http://www.mandriva.com/archives/security/advisories/?name=MDVSA-2011:006
- Bulletin de sécurité Ubuntu USN-1053-1 du 01 février 2011 : http://www.ubuntu.com/usn/usn-1053-1
- Liste des changements apportés par la version 1.6.15 d'Apache Subversion du 26 novembre 2010 : http://svn.apache.org/repos/asf/subversion/tags/1.6.15/CHANGES
- Référence CVE CVE-2007-2448 https://www.cve.org/CVERecord?id=CVE-2007-2448
- Référence CVE CVE-2010-3315 https://www.cve.org/CVERecord?id=CVE-2010-3315
- Référence CVE CVE-2010-4539 https://www.cve.org/CVERecord?id=CVE-2010-4539
- Référence CVE CVE-2010-4644 https://www.cve.org/CVERecord?id=CVE-2010-4644
