検出

Fedora 21 : subversion-1.8.13-7.fc21 (2015-11795)

high Nessus プラグイン ID 85065

Language:

概要

リモート Fedora ホストに、セキュリティ更新がありません。

説明

この更新には、最新安定版の **Apache Subversion**、バージョン **1.8.13** が含まれています。

この更新では、次の 3 つのセキュリティの脆弱性が修正されています:

- CVE-2015-0202:
 https://subversion.apache.org/security/CVE-2015-0202-advisory.txt

- CVE-2015-0248:
 https://subversion.apache.org/security/CVE-2015-0248-advisory.txt

- CVE-2015-0251:
 https://subversion.apache.org/security/CVE-2015-0251-advisory.txt

さらに、Subversion 1.8.13 の更新では、次の変更が含まれています:

**クライアント側のバグ修正:**

- ra_serf:すでに成功しているコミットの中止を防ぎます

- ra_serf:HTTP ヘッダーでの大文字と小文字の区別をサポートします

- 外部がシャドー化されている場合のエラーメッセージを改善します

- ra_svn:ディレクトリの読み取りエラーの報告を修正します

- HTTP にわたる「svn log」でのリダイレクト処理のバグを修正します

- ツリー競合情報を適切にコピーします

- 並べ替えたハンクに対する「svn patch」の出力を修正します http://subversion.tigris.org/issues/show_bug.cgi?id=4533

- svnrdump ロード:間違った props を no-deltas ダンプでロードしません http://subversion.tigris.org/issues/show_bug.cgi?id=4551

- 相対ファイル外部による作業コピーの破損を修正します http://subversion.tigris.org/issues/show_bug.cgi?id=4411

- 構成ファイルが読めない場合はクラッシュしません

- svn resolve:回答がひとつだけの場合は質問しません

- svn move でのアサーションエラーを修正します

- 作業コピーのパフォーマンスの改善

- 外部になる既存の作業コピーを処理します

- 対外 repos コピー用の WC メタデータのレコーディングを修正します

- 置き換えたディレクトリのリポジトリパスの計算を修正します

- 切り替えたノードのコミット後でのリポジトリパスの計算を修正します

- svnrdump:削除用のベースリビジョンとして HEAD+1 を提示しません

- 移動されるファイルに競合マーカーを残しません

- 不要なサブツリー mergeinfo のレコーディングを回避します

- ローカルにコピーされたディレクトリの diff を props で修正します

** サーバー側のバグ修正:**

- fsfs:1.8 と併用される 1.4 より前のリポジトリを検証する問題を修正します

- svnadmin freeze:メモリ割り当てエラーを修正します

- svnadmin load:無効な mergeinfo を r0 で容認します

- svnadmin load:r1 への参照を mergeinfo から除去します http://subversion.tigris.org/issues/show_bug.cgi?id=4538

- svnsync:r0 参照を mergeinfo から除去します http://subversion.tigris.org/issues/show_bug.cgi?id=4476

- fsfs:dag ノードで操作している場合、メモリ消費を減らします

- mod_dav_svn および svnserve で、無効な get-location-segments リクエストを拒否します

- mod_dav_svn:無効な txnprop 変更リクエストを拒否します

**クライアント側とサーバー側のバグ修正:**

- 文字列バッファルーチンでの未定義の動作を修正します

- Windows で APR r/w ロックとの一貫性の問題を修正します

- スレッドが同時に DSO をロードする場合での偶発的な SEGV を修正します

- svn エラーオブジェクトを適切に重複します

- 構成パーサーでの use-after-free を修正します

注意:Tenable Network Security は、前述の記述ブロックを Fedora セキュリティアドバイザリから直接抽出しています。Tenable では、できる限り新たな問題を持ち込まないように、自動的に整理して書式設定するようにしています。

ソリューション

影響を受ける subversion パッケージを更新してください。

参考資料

https://subversion.apache.org/security/CVE-2015-0202-advisory.txt

https://subversion.apache.org/security/CVE-2015-0248-advisory.txt

https://subversion.apache.org/security/CVE-2015-0251-advisory.txt

http://subversion.tigris.org/issues/show_bug.cgi?id=4411

http://subversion.tigris.org/issues/show_bug.cgi?id=4476

http://subversion.tigris.org/issues/show_bug.cgi?id=4533

http://subversion.tigris.org/issues/show_bug.cgi?id=4538

http://subversion.tigris.org/issues/show_bug.cgi?id=4551

https://bugzilla.redhat.com/show_bug.cgi?id=1205134

https://bugzilla.redhat.com/show_bug.cgi?id=1205138

https://bugzilla.redhat.com/show_bug.cgi?id=1205140

http://www.nessus.org/u?1c4153a0

プラグインの詳細

深刻度: High

ID: 85065

ファイル名: fedora_2015-11795.nasl

バージョン: 2.5

タイプ: local

エージェント: unix

公開日: 2015/7/29

更新日: 2021/1/11

サポートされているセンサー: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus

リスク情報

VPR

リスクファクター: Low

スコア: 3.6

CVSS v2

リスクファクター: High

基本値: 7.8

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:C

脆弱性情報

CPE: p-cpe:/a:fedoraproject:fedora:subversion, cpe:/o:fedoraproject:fedora:21

必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list

パッチ公開日: 2015/7/17

脆弱性公開日: 2015/4/8

参照情報

CVE: CVE-2015-0202, CVE-2015-0248, CVE-2015-0251

FEDORA: 2015-11795