13 Ocak 2004 tarihinde raporlanmis guvenlik duyurusuna gore, Rapor Tarihi: 13 Ocak 2004 Etkilenen Paketler: cvs Guvenlik veritababi referansi: Harici diger veritabani güvenlik referansi su an mevcut degil. Ek bilgi: CVS pserver'in hesap yonetimi (CVS repositorylere uzak erisim vermek icin kullaniliyor) herbir repository icin pserver kullanildigi zaman hangi yerel UNIX hesabinin kullanilacagi gibi bilgilerin yaninda hesaplar ve onlarin dogrulama bilgilerinin tutuldugu CVSROOT/passwd dosyasini kullanir. CVS'in hangi UNIX hesabinin belirtildigi konusunda bir kontrol yapmamasindan dolayi, CVSROOT/passwd dosyasini degistirebilen herkes CVS sunucusundaki butun yerel kullanici hesaplarina erisim kazanabilmektedir - root dahil -. Bu hata 1.11.11 bir ust versiyonda pserver'in root haklariyla calismasi engellenerek duzeltildi. Debian icin bu problem 1.11.1p1debian-9 versiyonunda iki degisik sekilde cozuldu: * pserver'in artik repositorylere ulasirken root haklarini kullanmasi engellendi. * bir repository'e ulasirken sistem yoneticileri tarafindan kullanilan UNIX hesaplarini tekrar etkinsizlestirmek icin yeni bir /etc/cvs-repouid saglandi. Bu degisiklik ile ilgili daha fazla bilgiye http://www.wiggy.net/code/cvs-repouid/'den ulasabilirsiniz. Ek olarak, CVS pserver'in bir repository'nin disarisinda dizin ve dosya olusturmak icin kullanilabilecek modul isteklerini yorumlamak ile ilgili bir hatasi vardi. Bu 1.11.11 ust versiyonda ve Debian 1.11.1p1debian-9 versiyonunda duzeltildi. Sonuc olarak, repositorylerin grup yazma haklariyla yaratilmasinin engellenmesi dogrultusunda "cvs init" ve "cvs-makerepos" icin kullanilan `umask` degeri degistirildi. Debian GNU/Linux 3.0 (kararli) Kaynak: http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian.orig.tar.gz http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9.diff.gz http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9.dsc Alpha: http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_alpha.deb ARM: http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_arm.deb HP Precision: http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_hppa.deb Intel IA-32: http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_i386.deb Intel IA-64: http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_ia64.deb Motorola 680x0: http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_m68k.deb Big-endian MIPS: http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_mips.deb Little-endian MIPS: http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_mipsel.deb PowerPC: http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_powerpc.deb IBM S/390: http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_s390.deb Sun Sparc: http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_sparc.deb Listelenmis dosyalarin MD5 checksum'lari http://lists.debian.org/debian-security-announce/debian-security-announce-2004/msg00017.html'de, orjinal duyuru'da, mevcuttur.
Attachment:
pgpDgIDwV3w43.pgp
Description: PGP signature