S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information
|
 |
|
Paris, le 08 octobre 2004
No CERTA-2004-AVI-329-001 |
Affaire suivie par :
CERTA
AVIS DU CERTA
Objet : Vulnérabilité dans
Subversion
Tableau 1: Gestion du document
| Référence |
CERTA-2004-AVI-329-001 |
| Titre |
Vulnérabilité dans
Subversion |
| Date de la première
version |
30 septembre 2004 |
| Date de la dernière
version |
08 octobre 2004 |
| Source(s) |
Bulletin de
sécurité Subversion |
| Pièce(s) jointe(s) |
Aucune |
|
Une gestion de version détaillée se trouve
à la fin de ce document.
Contournement de la politique de sécurité.
- Toutes les versions de
Subversion
antérieures à 1.0.7 incluse ;
- les versions candidates 1.1-rc1, rc2 et rc3.
Une vulnérabilité du module Apache
mod_authz_svn de Subversion permet
à un utilisateur mal intentionné de contourner la
politique de sécurité mise en place par
l'administrateur.
Subversion est un système de
contrôle des versions de fichier, ajoutant des
fonctionnalités à CVS (Concurrent Versions
System) telle la possibilité de copier, déplacer
ou effacer des fichiers ou répertoires. Un serveur
Subversion peut être mis en place à
partir d'un module Apache, d'un service autonome (svnserver) ou
à la demande encapsulé dans le protocole SSH. Le
module Apache mod_authz_svn limite les
accès aux répertoires gérés par
Subversion. Une vulnérabilité
présente dans le module Apache
mod_authz_svn permet à un utilisateur mal
intentionné d'accéder à des
répertoires dont les droits restreignent
l'accès.
Mettre à jour Subversion avec la version 1.0.8 ou
1.1.0-rc4 :
http://subversion.tigris.org/project_packages.html
- 30 septembre 2004
- version initiale.
- 08 octobre 2004
- ajout référence au bulletin de
sécurité de Gentoo.
CERTA
2012-01-04
|
)
