Fedora 14：subversion-1.6.17-1.fc14 (2011-8341)

medium Nessus Plugin ID 55496

語系：

概要

遠端 Fedora 主機遺漏安全性更新。

說明

此更新包含最新版 Subversion，可修正三個安全性問題：

mod_dav_svn 模組處理特定資料集的方式存在無限迴圈瑕疵。如果 SVNPathAuthz 指示詞設為「short_circuit」，且檔案和目錄的路徑型存取控制啟用，則惡意遠端使用者可利用此瑕疵，造成處理要求的 httpd 處理程序占用過多的系統記憶體。(CVE-2011-1783)

mod_dav_svn 模組處理針對基準化資源 URL 提交的要求的方式存在 NULL 指標解除參照瑕疵。惡意遠端使用者可利用此瑕疵，造成處理該要求的 httpd 處理程序損毀。(CVE-2011-1752)

如已啟用檔案和目錄的路徑型存取控制，會在 mod_dav_svn 模組處理特定 URL 的方式中發現一個資訊洩漏瑕疵。惡意遠端使用者可能會利用此瑕疵，存取以其他方式無法存取的特定存放庫檔案。注意：若將 SVNPathAuthz 指示詞設為「short_circuit」，則不會觸發此弱點。
(CVE-2011-1921)

Fedora Project 要感謝 Apache Subversion 專案報告這些問題。上游確認 Apache Software Foundation 的 Joe Schaefer 為 CVE-2011-1752 的原始報告者；
VisualSVN 的 Ivan Zhakov 為 CVE-2011-1783 的原始報告者；
CollabNet, Inc. 的 Kamesh Jayachandran 為 CVE-2011-1921 的原始報告者。

以下錯誤亦已在此版本中修正：

- 使「blame -g」在具有大型 mergeinfo 時更有效率

- 保留具有非零編輯器結束的記錄訊息

- 修正 64 位元平台上的 FSFS 快取效能

- 使 svn 清理容許受到妨礙的目錄

- 修正為 FSFS 存放庫提供服務的多執行緒伺服器中的鎖死

- 偵測偶爾發生的損毀並中止認可

- 已修正：檔案外部造成不可繼承的 mergeinfo

- 已修正：檔案外部造成 mixed-revision 工作複本

- 已修正：直接寫入 proxy 可直接造成從屬

- 偵測 FSFS 中的特定損毀狀況

- 改善用戶端參照未知修正時出現的錯誤訊息

- DAV 鏡像程式碼的錯誤修正和最佳化

- 已修正：已鎖定及刪除的檔案造成樹狀結構衝突

- 已修正：更新具有 svn:keywords 內容的 touches 鎖定檔案

- 修正目錄 copyfrom 的 svnsync 處理

- 修正「log -g」過度的重複輸出

- 透過 BDB 修正 svnsync copyfrom 處理錯誤

- 認可期間，svn:mergeinfo 語法的伺服器端驗證

請注意，Tenable Network Security 已直接從 Fedora 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。