[ 2004,04,21 ] cvs にセキュリティホール

対象 (Vine Linuxバージョン):

2.5/{i386,ppc,alpha} 2.6/{i386,ppc,alpha}

内容:

CVS に以下の 2 つの欠陥が発見されました。

• CAN-2004-0180
  悪意のある CVS pserver が、update および checkout 処理時に RCS diff に 絶対パス名を与えることによって、 クライアントシステム上に任意のファイル を作成できてしまう欠陥が発見されました。
• CAN-2004-0405
  悪意あるクライアントが CVS pserver にアクセスする際に、「../」を含む相対 パス名を指定することによって、 CVS ルートディレクトリ外の特定のファイルの 内容を見ることができてしまう 欠陥が発見されました。

修正ずみパッケージ／ファイル:

476fe323963ed44cd2ff44e33728db0c  cvs-1.11.2-0vl6.src.rpm

5598d0a1d56b7ea6dd63ead0aede0f55  cvs-1.11.2-0vl6.i386.rpm
48212b1b246966ca8b8eea784b0b1f3c  cvs-1.11.2-0vl6.ppc.rpm
4cfa27a9f8ea2a0145fe1af606628264  cvs-1.11.2-0vl6.alpha.rpm

入手先：

各ミラーサイトの

Vine-2.5/updates/RPMS/i386
Vine-2.5/updates/RPMS/ppc
Vine-2.5/updates/RPMS/alpha
 

より入手してください。

関連URL:

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0180
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0405
http://www.debian.org/security/2004/dsa-486
http://rhn.redhat.com/errata/RHSA-2004-154.html