DSA-3561-1 subversión - actualización de seguridad

1 envío / 0 nuevos
#1 Sáb, 30/04/2016 - 17:04
moonwatcher
Imagen de moonwatcher
Desconectado/a
moderador
se unió: 21/01/16

DSA-3561-1 subversión - actualización de seguridad

Fecha del informe:

29 de Abril el año 2016

Paquetes afectados:

subversión

Vulnerable:

Referencias de bases de datos de seguridad:

En el diccionario CVE de Mitre: CVE-2016-2167 , CVE-2016-2168 .

Más información:

Múltiples vulnerabilidades fueron descubiertas en Subversion, un sistema de control de versiones. El proyecto de Vulnerabilidades y Exposiciones Comunes identifica los siguientes problemas:

CVE-2016-2167

Daniel Shahaf y James McCoy descubrieron que un error de implementación en la autenticación en la biblioteca Cyrus SASL permitiría a un usuario remoto para especificar una cadena de ámbito, que es un prefijo de la cadena reino esperado y permitiendo potencialmente a un usuario para la autenticación mediante el reino equivocado.

CVE-2016-2168

Ivan Zhakov de VisualSVN descubrió una negación de la vulnerabilidad de forma remota triggerable servicio en el módulo de mod_authz_svn durante copiar o mover verificación de autorización. Un atacante remoto autenticado podría aprovechar esta vulnerabilidad para causar una denegación de servicio (caída del servidor de Subversion) a través de copiar o mover las solicitudes que tienen la cabecera especialmente diseñado.

Para la distribución estable (Jessie), estos problemas se han corregido en la versión 1.8.10-6 + deb8u4.

Para la distribución inestable (sid), estos problemas se han corregido en la versión 1.9.4-1.

Le recomendamos que actualice los paquetes de subversión.

Original (en ingles): https://www.debian.org/security/2016/dsa-3561