Debian DSA-2118-1：subversion - ロジック欠陥

medium Nessus プラグイン ID 49815

Language:

概要

リモート Debian ホストに、セキュリティ更新がありません。

説明

Kamesh Jayachandran 氏および C. Michael Pilat 氏は、バージョンコントロールシステムである Subversion の mod_dav_svn モジュールが、named リポジトリに対して範囲が制限されたアクセスルールを適切に強制していないことを発見しました。SVNPathAuthz オプションが「short_circuit」に設定されている場合、権限のない攻撃者が意図されたアクセス制限をバイパスし、リポジトリコンテンツの漏洩または変更を行う可能性があります。

ソリューション

subversion パッケージをアップグレードしてください。

回避策としては、SVNPathAuthz を「on」に設定することもできます。ただし、これは、大きなリポジトリに対するパフォーマンスを低減させることになる可能性があります。

安定版（stable）ディストリビューション（lenny）では、この問題は、バージョン 1.5.1dfsg1-5 で修正済みです。