検出

Mandriva Linux セキュリティアドバイザリ:subversion(MDVSA-2013:153)

medium Nessus プラグイン ID 66252

Language:

概要

リモート Mandriva Linux ホストには、1 つ以上のセキュリティ更新がありません。

説明

subversion に複数の脆弱性が見つかり、修正されました:

プロパティの大きな数字がノードで設定されるか削除されると、 Subversion の mod_dav_svn Apache HTTPD Server モジュールが過剰な量のメモリを使用します。これは、DoS を引き起こすことがあります。この問題が野放しで観測されている既知のインスタンスはありません(CVE-2013-1845)。

ロックリクエストがアクティビティの URL に対して出されると、 Subversion の mod_dav_svn Apache HTTPD Server モジュールがクラッシュします。これは、DoS を引き起こすことがあります。
この問題が野放しで観測されている既知のインスタンスはありません(CVE-2013-1846)。

ロックリクエストが存在しない URL に対して出されると、 Subversion の mod_dav_svn Apache HTTPD Server モジュールが場合によってクラッシュします。
これは、DoS を引き起こすことがあります。この問題が野放しで観測されている既知のインスタンスはありません(CVE-2013-1847)。

アクティビティの URL に対して PROPFIND リクエストが作成されると、 Subversion の mod_dav_svn Apache HTTPD Server モジュールがクラッシュします。これは、DoS を引き起こすことがあります。野放しで観察されているこの問題が既知のインスタンスはありませんが、これを悪用する方法に関する詳細な情報が完全情報漏洩のメーリングリストで漏洩されています(CVE-2013-1849)。

ログレポートリクエストが許可されている範囲外の制限を受け取ると、 Subversion の mod_dav_svn Apache HTTPD Server モジュールがクラッシュします。
これは、DoS を引き起こすことがあります。野放しで DoS として使用されているこの問題の既知のインスタンスはありません(CVE-2013-1884)。

更新パッケージが、この問題の影響を受けない 1.7.9 バージョンにアップグレードされています。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

http://subversion.apache.org/security/CVE-2013-1845-advisory.txt

http://subversion.apache.org/security/CVE-2013-1846-advisory.txt

http://subversion.apache.org/security/CVE-2013-1847-advisory.txt

http://subversion.apache.org/security/CVE-2013-1849-advisory.txt

http://subversion.apache.org/security/CVE-2013-1884-advisory.txt

プラグインの詳細

深刻度: Medium

ID: 66252

ファイル名: mandriva_MDVSA-2013-153.nasl

バージョン: 1.11

タイプ: local

公開日: 2013/4/29

更新日: 2021/1/6

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 4.4

CVSS v2

リスクファクター: Medium

基本値: 5

現状値: 3.9

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:P

脆弱性情報

CPE: p-cpe:/a:mandriva:linux:apache-mod_dav_svn, p-cpe:/a:mandriva:linux:lib64svn-gnome-keyring0, p-cpe:/a:mandriva:linux:lib64svn0, p-cpe:/a:mandriva:linux:lib64svnjavahl1, p-cpe:/a:mandriva:linux:perl-svn, p-cpe:/a:mandriva:linux:perl-svn-devel, p-cpe:/a:mandriva:linux:python-svn, p-cpe:/a:mandriva:linux:python-svn-devel, p-cpe:/a:mandriva:linux:ruby-svn, p-cpe:/a:mandriva:linux:ruby-svn-devel, p-cpe:/a:mandriva:linux:subversion, p-cpe:/a:mandriva:linux:subversion-devel, p-cpe:/a:mandriva:linux:subversion-doc, p-cpe:/a:mandriva:linux:subversion-gnome-keyring-devel, p-cpe:/a:mandriva:linux:subversion-server, p-cpe:/a:mandriva:linux:subversion-tools, p-cpe:/a:mandriva:linux:svn-javahl, cpe:/o:mandriva:business_server:1

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/Mandrake/release, Host/Mandrake/rpm-list

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2013/4/26

参照情報

CVE: CVE-2013-1845, CVE-2013-1846, CVE-2013-1847, CVE-2013-1849, CVE-2013-1884

BID: 58323, 58895, 58896, 58897, 58898

MDVSA: 2013:153