Fedora 14：subversion-1.6.17-1.fc14（2011-8341）

medium Nessus プラグイン ID 55496

Language:

概要

リモートのFedoraホストにセキュリティ更新プログラムがありません。

説明

この更新には、3 つのセキュリティの問題を修正する Subversion の最新のリリースが含まれています：

mod_dav_svn モジュールが特定のデータセットを処理する方法で、無限ループの欠陥が見つかりました。SVNPathAuthzディレクティブが「short_circuit」に設定され、ファイルおよびディレクトリに対するパスベースのアクセスコントロールが有効化されている場合、リモートのユーザーがこの欠陥を利用して、リクエストを発信しているhttpプロセスに大量のシステムメモリを消費させることが可能です。（CVE-2011-1783）

mod_dav_svn モジュールがベースライン化されたリソースの URL に対して送信されたリクエストを処理する方法で、NULL ポインターデリファレンスの欠陥が見つかりました。悪意あるリモートユーザーがこれらの欠陥を使用して、リクエストを発信しているhttpd処理をクラッシュさせることが可能です。（CVE-2011-1752）

ファイルおよびディレクトリのパスベースのアクセスコントロールが有効化されている際に、 mod_dav_svn モジュールが特定の URL を処理する方法に、情報漏洩の欠陥が見つかりました。悪意あるリモートユーザーがこの欠陥を利用して、通常ではアクセスできないレポジトリの特定のファイルにアクセスする可能性があります。注：この脆弱性は、 SVNPathAuthz ディレクティブが「short_circuit」に設定される際には発生させることはできません。
（CVE-2011-1921）

Fedora Project は、これらの問題を報告してくれた Apache Subversion プロジェクトに感謝の意を表します。Upstream は、Apache Software Foundation の Joe Schaefer 氏をCVE-2011-1752の最初の報告者として、
VisualSVNのIvan Zhakov氏をCVE-2011-1783の最初の報告者として、
CollabNet, Inc.のKamesh Jayachandran氏をCVE-2011-1921の最初の報告者として認めます。

このリリースでは、次のバグも修正されます：

- 大きな mergeinfo での「blame -g」をより効率的にします

- ゼロ以外のエディター終了時のログメッセージを保存します

- 64 ビットプラットフォームの FSFS キャッシュパフォーマンスを修正します

- svn クリーンアップに、妨害されたディレクトリを許容させます

- FSFS リポジトリを提供しているマルチスレッドサーバーのデッドロックを修正します

- 稀に発生する破損を検出し、コミットを中止します

- 修正済み：ファイルの externals により、継承されない mergeinfo が発生します

- 修正済み：ファイルの externals により、リビジョンが混在する作業コピーが発生します

- 修正済み：ライトスループロキシがスレーブに直接コミットする可能性があります

- FSFS の特定の破損状態を検出します

- クライアントが不明なリビジョンを参照する際のエラーメッセージを改善します

- DAV ミラーリングコードに対するバグ修正と最適化

- 修正済み：ロックしたファイルと削除済みファイルにより、ツリーコンフリクトが発生します

- 修正済み：更新によって、svn: keywordsプロパティでロックファイルをタッチします

- copyfrom ディレクトリの svnsync 処理を修正します

- 「log -g」の過剰重複出力を修正します

- BDB でのバグを処理する svnsync copyfrom を修正します

- コミット中のsvn: mergeinfo構文のサーバー側検証

注意：Tenable Network Security は、前述の記述ブロックを Fedora セキュリティアドバイザリから直接抽出しています。Tenableでは、そこに新しい問題を追加することはせずに、できる限り自動的に整理と書式設定をするようにしています。