このリリースは、CVE-2017-12836の脆弱性（悪意のあるSSH URL経由のコマンドインジェクション）を修正します。

注意：Tenable Network Securityは、前述の記述ブロックをFedora更新システムのWebサイトから直接抽出しています。
Tenableでは、新たな問題を持ち込まずに、できる限り自動的に整理して書式設定するようにしています。

このcvsの更新では、次の問題が修正されます：

  - CVE-2017-12836: 「-d」オプションの引数の先頭にダッシュがあると、引数のインジェクションが引き起こされる可能性があります（bsc#1053364）

注意：Tenable Network Securityは、前述の記述ブロックをSUSEセキュリティアドバイザリから直接抽出しています。Tenableでは、新たな問題を持ち込まずに、できる限り自動的に整理して書式設定するようにしています。

このcvsの更新では、次の問題が修正されます：

  - CVE-2017-12836: 「-d」オプションの引数の先頭にダッシュがあると、引数のインジェクションが引き起こされる可能性があります（bsc#1053364）この更新はSUSEからインポートされました：SLE-12: 更新プロジェクトを更新します。

Linux/Unix ホストには、ベンダーが提供するパッチが利用できない脆弱性の影響を受ける複数のパッケージがインストールされています。

  - CVS 1.12.xが、リモートリポジトリに対して SSH を使用するように構成されている場合、リモートの攻撃者が、細工されたホスト名を持つリポジトリ URL を通じて、任意のコードを実行する可能性があります。
    -oProxyCommand=id;localhost:/bar. （CVE-2017-12836）

Nessus は、ベンダーによって報告されたパッケージの存在に依存していることに注意してください。

CVSリビジョン管理システムにコマンドインジェクションの脆弱性があることがわかりました。

Debian 7「Wheezy」では、この問題はcvsバージョン2:1.12.13+real-9+deb7u1で修正されています。

cvsパッケージをアップグレードすることを推奨します。このアップロードの準備とテストをしてくれたThorsten Glaser <tg@mirbsd.de>に感謝します。

注: Tenable Network Securityは、前述の記述ブロックを DLA セキュリティアドバイザリから直接抽出しています。Tenableでは、新たな問題を持ち込まずに、できる限り自動的に整理して書式設定するようにしています。

Hank Leininger氏はcvsがリモートリポジトリのSSHを適切に処理しないことを発見しました。リモートの攻撃者がこれを利用してcvsリポジトリを構築し、このリポジトリにアクセスしたとき、ユーザーの権限で任意のコードを実行する可能性があります。

注意: Tenable Network Security は、前述の説明ブロックを Ubuntu セキュリティアドバイザリからすでに直接抽出しています。Tenable では、新たな問題を持ち込まずに、できる限り自動的に整理して書式設定するようにしています。

リモートホストは、GLSA-201709-17（CVS：コマンドインジェクション）で説明されている脆弱性に影響されています。CVSがリモートリポジトリにSSHを使用するように設定されている場合、リモートの攻撃者が特別に細工されたホスト名を持つリポジトリURLを介して任意のコードを実行できることが発見されました。影響：リモートの攻撃者が、特別に細工されたリポジトリを複製するようにユーザーを誘導することで、プロセスの権限で任意のコードを実行する可能性があります。回避策：現時点では、既知の回避策はありません。

集中型バージョンコントロールシステムであるCVSが、悪意を持って構築されたリポジトリのURLを適切に処理していないことが判明しました。これにより、攻撃者が任意のシェルコマンドを実行することが可能でした。

Hank Leininger氏による報告：

Git、Subversion、Mercurialのバグが発表され、パッチが適用されました。これにより、リモートサーバーで、-から始まるものなど、悪意のある名前を使用してsslクライアントにオプションを渡す、git clone ssh://-oProxyCommand=some-command...などの任意のローカルコマンドが実行される可能性があります。CVSには、-dオプションに関する同様の問題があります：

vanilla CVS 1.12.13およびGentoo CVS 1.12.12-r11をテストしました。

ID	名前	製品	ファミリー	公開日	更新日	深刻度
102831	Fedora 26：cvs（2017-e5a78c5ca9）	Nessus	Fedora Local Security Checks	2017/8/30	2021/1/6	high
103178	SUSE SLES11セキュリティ更新プログラム：cvs（SUSE-SU-2017:2422-1）	Nessus	SuSE Local Security Checks	2017/9/13	2021/1/19	high
103285	openSUSEセキュリティ更新プログラム：cvs（openSUSE-2017-1060）	Nessus	SuSE Local Security Checks	2017/9/18	2021/1/19	high
220692	Linux Distros のパッチ未適用の脆弱性: CVE-2017-12836	Nessus	Misc.	2025/3/4	2025/10/13	high
102441	Debian DLA-1056-1: cvsセキュリティ更新	Nessus	Debian Local Security Checks	2017/8/14	2021/1/11	high
102680	Ubuntu 14.04 LTS / 16.04 LTS : cvs の脆弱性 (USN-3399-1)	Nessus	Ubuntu Local Security Checks	2017/8/22	2025/2/18	high
103445	GLSA-201709-17：CVS：コマンドインジェクション	Nessus	Gentoo Local Security Checks	2017/9/25	2021/1/11	high
102829	Fedora 25：cvs（2017-97eb475d93）	Nessus	Fedora Local Security Checks	2017/8/30	2021/1/6	high
102447	DebianDSA-3940-1：cvs - セキュリティ更新	Nessus	Debian Local Security Checks	2017/8/14	2021/1/4	high
103176	SUSE SLED12 / SLES12セキュリティ更新プログラム：cvs（SUSE-SU-2017:2419-1）	Nessus	SuSE Local Security Checks	2017/9/13	2021/1/6	high
106996	FreeBSD： cvs -- sshコマンドインジェクションによるリモートコードの実行（d9fe59ea-1940-11e8-9eb8-5404a68ad561）	Nessus	FreeBSD Local Security Checks	2018/2/26	2025/10/27	high

検出

プラグインの検索

high

high

high

high

high

high

high

high

high

high

high