Schnellnavigation überspringen

• Über Debian
• Nachrichten
• Debian besorgen
• Unterstützung
• Entwickler-Ecke
• Sitemap
• Suche

Debian-Sicherheitsankündigung

cvsweb -- Unautorisierte entfernte Code-Ausführung

Datum des Berichts:

16. Jul 2000

Betroffene Pakete:

cvsweb

Verwundbar:

Ja

Sicherheitsdatenbanken-Referenzen:

In Mitres CVE-Verzeichnis: CVE-2000-0670.

Weitere Informationen:

Die Versionen von cvsweb in Debian GNU/Linux 2.1 (auch Slink genannt) wie auch in den frozen (Potato) und unstable (Woody) Distributionen sind für eine entfernte Shell-Ausbeutung anfällig. Ein Angreifer mit Schreibzugriff auf das CVS-Depot kann beliebigen Code auf dem Server als der www-data Benutzer ausführen.

Die Verwundbarkeit ist in Version 109 von cvsweb für das aktuelle stable-Release (Debian GNU/Linux 2.1), in Version 1.79-3potato1 für die frozen-Distribution und in Version 1.86-1 für die unstable-Distribution behoben.

Behoben in:

Debian GNU/Linux 2.1 (slink):

Quellcode:

http://security.debian.org/dists/slink/updates/source/cvsweb_109.dsc

http://security.debian.org/dists/slink/updates/source/cvsweb_109.tar.gz

Architektur-unabhängige Dateien:

http://security.debian.org/dists/slink/updates/binary-all/cvsweb_109_all.deb

Debian GNU/Linux 2.2 (potato):

Quellcode:

http://http.us.debian.org/debian/dists/potato/main/source/devel/cvsweb_1.79-3potato1.diff.gz

http://http.us.debian.org/debian/dists/potato/main/source/devel/cvsweb_1.79-3potato1.dsc

http://http.us.debian.org/debian/dists/potato/main/source/devel/cvsweb_1.79.orig.tar.gz

Architektur-unabhängige Dateien:

http://http.us.debian.org/debian/dists/potato/main/binary-all/devel/cvsweb_1.79-3potato1.deb

Diese Seite gibt es auch in den folgenden Sprachen:

English español français 日本語 (Nihongo) svenska

Wie stellt man die Standardsprache ein