検出

CentOS 5:subversion(CESA-2011: 0327)

medium Nessus プラグイン ID 53425

Language:

概要

リモートのCentOSホストに1つ以上のセキュリティ更新プログラムが欠落しています。

説明

1 つのセキュリティの問題と 1 つのバグを修正する更新済みの subversion パッケージが、Red Hat Enterprise Linux 5 で現在利用可能です。

Red Hatセキュリティレスポンスチームは、この更新がセキュリティに及ぼす影響を重要度中として評価しています。詳細な重要度評価を示すCommon Vulnerability Scoring System(CVSS)ベーススコアは「参照」セクションのCVEリンクで確認できます。

Subversion(SVN)はコンカレントバージョンコントロールシステムであり、すべての変更履歴を維持しながら、1人以上のユーザーがファイルとディレクトリの階層を共同で開発および維持できるようにします。HTTP 経由で Subversion リポジトリにアクセスすることを可能にするために、mod_dav_svn モジュールは Apache HTTP Server で使用されます。

mod_dav_svn モジュールがリポジトリのワーキングコピーパスをロックする特定のリクエストを処理する方法で、NULL ポインターデリファレンスの欠陥が見つかりました。リモートの攻撃者が、httpdプロセスにリクエストを供給し、クラッシュさせるロックリクエストを発行する可能性があります。(CVE-2011-0715)

Red Hat は、この問題を報告してくれた Apache Subversion プロジェクトの Hyrum Wright 氏に感謝の意を表します。Upstream は、WANdisco, Inc. の Philip Martin 氏を最初の報告者として認めます。

この更新では、以下のバグも修正されます:

*「db/fsfs.conf」ファイルのないリポジトリの処理で、回帰が見つかりました。そのようなリポジトリのコピー生成を試みる際に、「svnadmin hotcopy」コマンドが失敗する可能性があります。このコマンドは、「fsfs.conf」ファイルがないことを無視するように修正されています。「svnadmin hotcopy」コマンドが、このタイプのリポジトリに対して成功するようになりました。(BZ#681522)

Subversion のすべてのユーザーは、バックポートされたパッチが含まれるこれらの更新済みパッケージへアップグレードし、これらの問題を修正する必要があります。更新済みパッケージのインストール後、mod_dav_svn を使用している場合は、 httpd デーモンを再起動し、更新を有効にする必要があります。

ソリューション

影響を受けるsubversionパッケージを更新してください。

参考資料

http://www.nessus.org/u?34b9181b

http://www.nessus.org/u?2adf7f0e

プラグインの詳細

深刻度: Medium

ID: 53425

ファイル名: centos_RHSA-2011-0327.nasl

バージョン: 1.12

タイプ: local

エージェント: unix

公開日: 2011/4/15

更新日: 2021/1/4

サポートされているセンサー: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus

リスク情報

VPR

リスクファクター: Low

スコア: 3.6

CVSS v2

リスクファクター: Medium

基本値: 4.3

現状値: 3.2

ベクトル: CVSS2#AV:N/AC:M/Au:N/C:N/I:N/A:P

脆弱性情報

CPE: p-cpe:/a:centos:centos:mod_dav_svn, p-cpe:/a:centos:centos:subversion, p-cpe:/a:centos:centos:subversion-devel, p-cpe:/a:centos:centos:subversion-javahl, p-cpe:/a:centos:centos:subversion-perl, p-cpe:/a:centos:centos:subversion-ruby, cpe:/o:centos:centos:5

必要な KB アイテム: Host/local_checks_enabled, Host/CentOS/release, Host/CentOS/rpm-list

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2011/4/14

脆弱性公開日: 2011/3/11

参照情報

CVE: CVE-2011-0715

BID: 46734

RHSA: 2011:0327