CVS畸形请求系统ROOT文件建立漏洞

漏洞信息详情

CVS畸形请求系统ROOT文件建立漏洞

• CNNVD编号：CNNVD-200401-005
• 危害等级： 高危
  
  
• CVE编号：
  CVE-2003-0977
  
• 漏洞类型：
  
  
  输入验证
  
• 发布时间：
  
  2003-12-09
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2005-10-20
  
• 厂        商：
  
  slackware
• 漏洞来源：
  Derek Price※ derek…

Concurrent Versions System (CVS)是一款开放源代码的版本控制软件。
CVS系统由于在处理部分类型请求时存在问题，远程攻击者可以利用这个漏洞在主机系统上的ROOT目录文件系统中建立文件。
提交恶意的模块请求可使CVS服务程序在ROOT文件系统上建立目录或文件，目前没有详细漏洞细节提供。

厂商补丁：
CVS
—
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

CVS Upgrade cvs-1.11.10.tar.bz2

http://ccvs.cvshome.org/servlets/ProjectDownloadList?action=download&dlID=384” target=”_blank”>
http://ccvs.cvshome.org/servlets/ProjectDownloadList?action=download&dlID=384
MandrakeSoft
————
MandrakeSoft已经为此发布了一个安全公告(MDKSA-2003:112-1)以及相应补丁:

MDKSA-2003:112-1：Updated cvs packages fix malformed module request vulnerability

链接：http://www.linux-mandrake.com/en/security/2003/2003-112.php” target=”_blank”>
http://www.linux-mandrake.com/en/security/2003/2003-112.php

补丁下载：

Updated Packages:

Mandrake Linux 9.1:

ftp://download.sourceforge.net/pub/mirrors/mandrake/updates/9.1/RPMS/cvs-1.11.10-0.2.91mdk.i586.rpm

ftp://download.sourceforge.net/pub/mirrors/mandrake/updates/9.1/SRPMS/cvs-1.11.10-0.2.91mdk.src.rpm

Mandrake Linux 9.1/PPC:

ftp://download.sourceforge.net/pub/mirrors/mandrake/updates/ppc/9.1/RPMS/cvs-1.11.10-0.2.91mdk.ppc.rpm

ftp://download.sourceforge.net/pub/mirrors/mandrake/updates/ppc/9.1/SRPMS/cvs-1.11.10-0.2.91mdk.src.rpm

Mandrake Linux 9.2:

ftp://download.sourceforge.net/pub/mirrors/mandrake/updates/9.2/RPMS/cvs-1.11.10-0.2.92mdk.i586.rpm

ftp://download.sourceforge.net/pub/mirrors/mandrake/updates/9.2/SRPMS/cvs-1.11.10-0.2.92mdk.src.rpm

上述升级软件还可以在下列地址中的任意一个镜像ftp服务器上下载：

http://www.mandrakesecure.net/en/ftp.php” target=”_blank”>
http://www.mandrakesecure.net/en/ftp.php

来源: DEBIAN
名称: DSA-422
链接:http://www.debian.org/security/2004/dsa-422

来源: ccvs.cvshome.org
链接:http://ccvs.cvshome.org/servlets/NewsItemView?newsID=84&JServSessionIdservlets=8u3x1myav1

来源: XF
名称: cvs-module-file-manipulation(13929)
链接:http://xforce.iss.net/xforce/xfdb/13929

来源: REDHAT
名称: RHSA-2004:004
链接:http://www.redhat.com/support/errata/RHSA-2004-004.html

来源: REDHAT
名称: RHSA-2004:003
链接:http://www.redhat.com/support/errata/RHSA-2004-003.html

来源: OVAL
名称: oval:org.mitre.oval:def:11528
链接:http://oval.mitre.org/repository/data/getDef?id=oval:org.mitre.oval:def:11528

来源: SGI
名称: 20040103-01-U
链接:ftp://patches.sgi.com/support/free/security/advisories/20040103-01-U.asc

来源: MANDRAKE
名称: MDKSA-2003:112
链接:http://www.mandriva.com/security/advisories?name=MDKSA-2003:112

来源: SECUNIA
名称: 10601
链接:http://secunia.com/advisories/10601

来源: BUGTRAQ
名称: 20040129 [FLSA-2004:1207] Updated cvs resolves security vulnerability
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=107540163908129&w=2

来源: BUGTRAQ
名称: 20031217 [OpenPKG-SA-2003.052] OpenPKG Security Advisory (cvs)
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=107168035515554&w=2

来源: CONECTIVA
名称: CLA-2004:808
链接:http://distro.conectiva.com.br/atualizacoes/?id=a&anuncio=000808

来源: SGI
名称: 20040202-01-U
链接:ftp://patches.sgi.com/support/free/security/advisories/20040202-01-U.asc

来源: US Government Resource: oval:org.mitre.oval:def:866
名称: oval:org.mitre.oval:def:866
链接:http://oval.mitre.org/repository/data/getDef?id=oval:org.mitre.oval:def:866

来源: US Government Resource: oval:org.mitre.oval:def:855
名称: oval:org.mitre.oval:def:855
链接:http://oval.mitre.org/repository/data/getDef?id=oval:org.mitre.oval:def:855