Fedora 18 : subversion-1.7.11-1.fc18.1 （2013-13672）

high Nessus プラグイン ID 69355

Language:

概要

リモート Fedora ホストに、セキュリティ更新がありません。

説明

この更新には、Apache Subversion 1.7 の最新リリースであるバージョン 1.7.11 が含まれています。この更新では、複数のセキュリティの脆弱性が修正されています：

Subversion の mod_dav_svn Apache HTTPD サーバーモジュールが、リビジョンルートに対して行われた一部のリクエストでアサーションを引き起こします。これは、DoS を引き起こすことがあります。アサーションが無効な場合は、読み取りオーバーフローが引き起こされ、セグメンテーション違反または詳細不明の動作が発生する可能性があります。これを悪用するにはコミットアクセスが必要です。(CVE-2013-4131)

改行文字（ASCII 0x0a）を含むファイル名が、 FSFS フォーマットを使用しているリポジトリにコミットされると、結果として生成されるリビジョンが破損状態になります。これによりリポジトリのユーザーはサービスを利用できなくなる可能性があります。(CVE-2013-1968)

Subversion の contrib/ ディレクトリに含まれる、2 つの例となるフックスクリプトは、「svnlook changed」を使用してリビジョンあるいはトランザクションを検証し、コマンドラインを適切にエスケープすることなく、それらのパスを引数としてさらに「svnlook」コマンドに送ります。(CVE-2013-2088)

受信 TCP 接続が接続プロセスで早く閉じられた場合、 Subversion の svnserve サーバーのプロセスが終了することがあります。これによりサーバーのユーザーはサービスを利用できなくなる可能性があります(CVE-2013-2112)

1.7.10 リリースでは次のクライアントサイドのバグが修正されています：

- 「svn revert」「no such table: revert_list」偽造エラーを修正します

- ローカルで追加された一部のファイルを表示しない「svn diff」を修正します

- --changelist の値が UTF8 でない場合での変更リストのフィルター処理を修正します

- 間違ったコピー元を表示する「svn diff --git」を修正します

- 間違った変更を表示する「svn diff -x-w」を修正します

- すべての行を変更済みとして表示することがある「svn blame」を修正します

- 外部に対する「svn status -u」出力でのバグ回帰を修正します

- キーワードによるファイルのコミットでのファイル権限の変更を修正します

- 一部の致命的エラーのメッセージを改善します

- 作業コピーが浅くなる場合に削除されない外部を修正します

次のサーバーサイドのバグが修正されています：

- ファイル名に改行があることによるリポジトリの破損を修正します

- クライアント接続が中断される場合に終了する svnserve を修正します

- 消去後の svnserve のメモリ使用を修正します

注意：Tenable Network Security は、前述の記述ブロックを Fedora セキュリティアドバイザリから直接抽出しています。Tenable では、できる限り新たな問題を持ち込まないように、自動的に整理して書式設定するようにしています。