Stabsstelle DV-Sicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-1247

[Generic/CVS] Mehrere Schwachstellen im Concurrent Versions System (CVS)
(2005-04-20 13:48:46.742971+00)

Quelle: http://cert.uni-stuttgart.de/archive/bugtraq/2005/04/msg00273.html

Mehrere Schwachstellen im Concurrent Versions System (CVS) ermöglichen Angreifern, verwundbare CVS-Server in einen unbenutzbaren Zustand zu versetzen (DoS) oder beliebigen Programmcode mit den Privilegien des Servers auf dem beherbergenden System auszuführen. CVS-Serverbetreibern wird dringend der Update auf die aktuelle Version empfohlen, diverse GNU/Linux-Distributoren stellen aktualisierte CVS-Pakete bereit.

Betroffene Systeme

Nicht betroffene Systeme

Einfallstor
Zugriff auf den CVS-Server über eine Netzwerkverbindung (remote network access)
Derzeit ist unklar, ob zur Ausnutzung der Schwachstelle gültige CVS-user-Credentials benötigt werden.

Auswirkung

Typ der Verwundbarkeit

Gefahrenpotential
hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Kontext
Das Concurrent Versions System (CVS) ist ein Versionskontrollsystem zur verteilten Bearbeitung großer strukturierter Dateibäume. Es kann sowohl lokal auf einem System die Änderungshistorie von Dateien überwachen als auch diesen Dienst im Netz anbieten. Viele große, quelloffene Softwareprojekte werden von einer verteilten Entwicklergemeinschaft mittels CVS entwickelt.

Beschreibung
Eine Pufferüberlaufschwachstelle, eine NULL-Pointer-Dereference-Schwachstelle sowie diverse Speicherlecks in CVS ermöglichen Angreifern, verwundbare CVS-Server in einen unbenutzbaren Zustand zu versetzen oder beliebigen Programmcode mit den Privilegien des Servers auf dem beherbergenden System auszuführen. Derzeit ist unklar, ob zur Ausnutzung der Schwachstelle gültige CVS-user-Credentials benötigt werden.

Gegenmaßnahmen
CVS-Serverbetreibern wird dringend der Update auf die aktuelle Version empfohlen:

Diverse GNU/Linux-Distributoren stellen aktualisierte CVS-Pakete bereit.

Vulnerability ID

Weitere Information zu diesem Thema

(og)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=1247