CVSにリモートから任意のコードを実行されるおそれのある脆弱性 15
ストーリー by yoosee
開発コードを荒される前に 部門より
開発コードを荒される前に 部門より
zophos 曰く、 "CVS 1.11.15/1.12.7以前のバージョンに,ヒープオーバフローによりリモートから任意のコードを実行されるおそれのある脆弱性が見つかっています(CAN-2004-0396, e-matters Advisory 07/2004)。対応済のバージョン 1.11.16/1.12.8がリリースされています。また、以下の各ディストリビュータでは対応済のパッケージを配布していますので、特に外部にレポジトリを公開しているサーバでは出来るだけ早く入れ換えをしてください。
- Debian: DSA-505-1 cvs -- heap overflow
- RedHat: RHSA-2004:190-14 Updated cvs package fixes security issue
- FreeBSD: FreeBSD-SA-04:10.csv CVS pserver protocol parser errors
先月にも見たような…… (スコア:2, 参考になる)
・今回のものは,悪意のあるCVS clientがCVSサーバで任意のコードを実行できる
・前回(FreeBSD-SA-04:07:CVS path validation errors [freebsd.org])のものは,悪意のあるCVS serverが,CVS clientの任意のファイルを上書きできる
というわけで,今回のもののほうが影響が大きそうです.
Subversion (スコア:2, 参考になる)
旅に出ます.(バグを)探さないで下さい.
Re:Subversion (スコア:2, 興味深い)
Re:Subversion (スコア:1)
svnにも脆弱性 (スコア:2, 参考になる)
@@@@
Re:svnにも脆弱性 (スコア:0)
Workarounds: public accessの禁止しかありません
Recommendations: 1.0.3にあげましょう
あと自分の環境用に調べたことから
FreeBSD portsは1.0.2_1 [freebsd.org]で修正
Vineも (スコア:1, 参考になる)
Vine も対応した [vinelinux.org]みたいですよ.
さぁみんなも apt-get しときましょう.
他にもあるみたいだし:-p
Re:2GET! (スコア:2, すばらしい洞察)
・同様にモデもしない
スルーが一番
Re:2GET! (スコア:1, オフトピック)
相手が、自動(cron とか)でやっている場合は少し困りますが、
その時は、その時で対処を考えると言うことで。
Re:2GET! (スコア:0)
Re:2GET! (スコア:0, オフトピック)
3GET!, 4GET!,... がうざったくなるだけだと思うな。
さっさとしきい値を1に上げてゴミコメントが目に入らないようにするのが、精神衛生にいいと思うよ。面白い or 役に立つACコメントはちゃんとプラスモデされているみたいだし。
_.. ._._._ _... ._._._ ._. ._._._
物は試しだ。コメントのしきい値を2にしてごらん
Re:「2GET!」の意味を教えてくれ (スコア:0)