CVS未文档化标记信息泄露漏洞

漏洞信息详情

CVS未文档化标记信息泄露漏洞

• CNNVD编号：CNNVD-200410-048
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2004-0778
  
• 漏洞类型：
  
  
  输入验证
  
• 发布时间：
  
  2004-08-16
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2005-10-20
  
• 厂        商：
  
  cvs
• 漏洞来源：
  iDEFENSE Security …

Concurrent Versions System (CVS)是一款开放源代码的版本控制软件。
CVS存在未文档化命令参数开关标记，远程攻击者可以利用这个漏洞获得敏感信息。
问题存在于src/history.c文件中的\’\’history\’\’命令的未公开开关，-X命令选项指定历史文件名，允许攻击者判断任意系统文件或目录是否存在，或者CVS进程是否能访问它们。可导致敏感信息泄露。

厂商补丁：
CVS
—
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载CVS 1.11.17 & 1.12.9版本：

http://www.cvshome.org/” target=”_blank”>
http://www.cvshome.org/

来源:US-CERT Vulnerability Note: VU#579225
名称: VU#579225
链接:http://www.kb.cert.org/vuls/id/579225

来源: XF
名称: cvs-history-info-disclosure(17001)
链接:http://xforce.iss.net/xforce/xfdb/17001

来源: BID
名称: 10955
链接:http://www.securityfocus.com/bid/10955

来源: MANDRAKE
名称: MDKSA-2004:108
链接:http://www.mandrakesecure.net/en/advisories/advisory.php?name=MDKSA-2004:108

来源: IDEFENSE
名称: 20040816 CVS Undocumented Flag Information Disclosure Vulnerability
链接:http://www.idefense.com/application/poi/display?id=130&type=vulnerabilities

来源: OVAL
名称: oval:org.mitre.oval:def:10688
链接:http://oval.mitre.org/repository/data/getDef?id=oval:org.mitre.oval:def:10688