You are here: Home » Aktuelle Meldungen » Meldung
Sorry, this page is not translated yet.
Meldung Nr: RUS-CERT-1247

[Generic/CVS] Mehrere Schwachstellen im Concurrent Versions System (CVS)
(2005-04-20 13:48:46.742971+00) Druckversion

Quelle: http://cert.uni-stuttgart.de/archive/bugtraq/2005/04/msg00273.html

Mehrere Schwachstellen im Concurrent Versions System (CVS) ermöglichen Angreifern, verwundbare CVS-Server in einen unbenutzbaren Zustand zu versetzen (DoS) oder beliebigen Programmcode mit den Privilegien des Servers auf dem beherbergenden System auszuführen. CVS-Serverbetreibern wird dringend der Update auf die aktuelle Version empfohlen, diverse GNU/Linux-Distributoren stellen aktualisierte CVS-Pakete bereit.

Betroffene Systeme

  • Stable CVS bis Version 1.11.19
  • CVS Feature bis Version 1.12.11

Nicht betroffene Systeme

  • Stable CVS Version 1.11.20
  • CVS Feature Version 1.12.12

Einfallstor
Zugriff auf den CVS-Server über eine Netzwerkverbindung (remote network access)
Derzeit ist unklar, ob zur Ausnutzung der Schwachstelle gültige CVS-user-Credentials benötigt werden.

Auswirkung

  • Ausführen beliebigen Programmcodes mit den Privilegien des CVS-Servers auf dem beherbergenden Rechnersystem (user compromise)
  • Nichtverfügbarkeit des CVS-Servers (Denial of Service)

Typ der Verwundbarkeit

  • Pufferüberlaufschwachstelle (buffer overflow bug)
  • NULL pointer dereference
  • Speicherleck (memory access bug)

Gefahrenpotential
hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Kontext
Das Concurrent Versions System (CVS) ist ein Versionskontrollsystem zur verteilten Bearbeitung großer strukturierter Dateibäume. Es kann sowohl lokal auf einem System die Änderungshistorie von Dateien überwachen als auch diesen Dienst im Netz anbieten. Viele große, quelloffene Softwareprojekte werden von einer verteilten Entwicklergemeinschaft mittels CVS entwickelt.

Beschreibung
Eine Pufferüberlaufschwachstelle, eine NULL-Pointer-Dereference-Schwachstelle sowie diverse Speicherlecks in CVS ermöglichen Angreifern, verwundbare CVS-Server in einen unbenutzbaren Zustand zu versetzen oder beliebigen Programmcode mit den Privilegien des Servers auf dem beherbergenden System auszuführen. Derzeit ist unklar, ob zur Ausnutzung der Schwachstelle gültige CVS-user-Credentials benötigt werden.

Gegenmaßnahmen
CVS-Serverbetreibern wird dringend der Update auf die aktuelle Version empfohlen:

Diverse GNU/Linux-Distributoren stellen aktualisierte CVS-Pakete bereit.

Vulnerability ID

Weitere Information zu diesem Thema

(og)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/

Vorherige Meldung Weitere Meldungen... Nächste Meldung

Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.