Fedora 18：subversion-1.7.11-1.fc18.1 (2013-13672)

high Nessus Plugin ID 69355

語系：

概要

遠端 Fedora 主機遺漏安全性更新。

說明

此更新含有 Apache Subversion 1.7、1.7.11 版的最新版本。此更新中修正了數個安全性弱點：

Subversion 的 mod_dav_svn Apache HTTPD 伺服器模組會在某些依據修訂版 root 提出的要求中，觸發宣告。這可能會導致 DoS。如果停用宣告，系統就會觸發讀取溢位，這可能會導致分割錯誤或未定義的行為。需要認可存取權才能惡意利用此弱點。(CVE-2013-4131)

如果包含新行字元 (ASCII 0x0a) 的檔案名稱是使用 FSFS 格式寫入存放庫，則所產生的修訂版將會損毀。這可能導致存放庫使用者中斷。(CVE-2013-1968)

Subversion 的 contrib/ 目錄中含有兩個範例勾點指令碼，這些指令碼使用 'svnlook changed' 檢查修訂或交易，然後將這些路徑當做引數，傳遞至進一步的 'svnlook' 命令，而不正確逸出命令行。(CVE-2013-2088)

當傳入的 TCP 連線在連線處理程序中提早關閉時，Subversion 的 svnserve 伺服器處理程序可能會結束。這可能導致伺服器使用者中斷。(CVE-2013-2112)

下列用戶端錯誤已在 1.7.10 版中修正：

- 修正 'svn revert' 'no such table: revert_list' 假性錯誤

- 修正 'svn diff' 不會顯示一些本機新增的檔案

- 在變更清單值並非 UTF8 時 --修正變更清單篩選

- 修正 'svn diff --git' 顯示錯誤的 copyfrom

- 修正 'svn diff -x-w' 顯示錯誤的變更

- 修正 'svn blame' 有時會根據修改顯示每行

- 針對外部項目修正 'svn status -u' 輸出中的迴歸

- 修正提交帶有關鍵字的檔案時的檔案權限變更

- 改善一些嚴重錯誤訊息

- 修正將工作複本設定為淺層時未移除的外部項目

下列伺服器端錯誤已修正：

- 修正因檔案名稱中的新行導致的存放庫損毀

- 修正在用戶端連線中止時結束 svnserve

- 修正 svnserve 記憶體清除後使用問題

請注意，Tenable Network Security 已直接從 Fedora 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。