Fedora 20:subversion-1.8.8-1.fc20 (2014-3365)

medium Nessus Plugin ID 73033

Synopsis

遠端 Fedora 主機遺漏安全性更新。

描述

此更新包含 Subversion 的最新穩定版本,可修正一個安全性問題 (CVE-2014-0032):

當接收到針對伺服器 root 的 OPTIONS 要求,且 Subversion 設定為處理伺服器 root,以及 SVNListParentPath 為開啟狀態時,Subversion 的 mod_dav_svn Apache HTTPD 伺服器模組會當機。

這可能會導致 DoS。環境中此問題無任何已知執行個體遭到惡意利用,但是關於惡意利用方式的詳細資訊已在 Subversion 開發郵寄清單中洩漏。

如需詳細資訊,請參閱:

https://subversion.apache.org/security/CVE-2014-0032-advisory.txt

此更新中含有多個用戶端錯誤修正:

- 修正 wcs 不在存放庫 root 的自動重新定位

- wc:改善搭配 SQLite 3.8 使用時的效能

- copy:修正工作複本損毀的部分狀況

- move:修正在外部工作複本和父項工作複本之間移動檔案時所發生的錯誤

- log:解決特定狀況下所發生的效能迴歸

- merge:減少偵測 3 個檔案間差異的工作

- commit:禁止不當變更檔案權限

- commit:修正因無效集區存留期所發生的宣告

- version:不中斷 Linux 上的發行版本

- 結束前排清 stdout 以避免遺失資訊

- status:修正警告程式碼上的遺失標記值

- update/switch:改善可能會根據構建 SQLite 之方式傳回不正確結果的部分 WC db 查詢

伺服器端錯誤修正:

- 減少簽出和匯出期間的記憶體使用量

- fsfs:使用適當權限建立 rep-cache.db

- mod_dav_svn:防止在 SVNListParentPath 為開啟狀態時發生當機 (CVE-2014-0032)

- mod_dav_svn:修正 SVNAllowBulkUpdates 指示詞合併

- mod_dav_svn:在報告中包含要求的內容變更

- svnserve:更正說明文字中的預設快取大小

- svnadmin dump:使用 '--deltas' 減少轉儲存檔案的大小

- 解決導致無限迴圈的整數反向溢位

請注意,Tenable Network Security 已直接從 Fedora 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下,嘗試自動清理並將其格式化。

解決方案

更新受影響的 subversion 套件。

另請參閱

https://bugzilla.redhat.com/show_bug.cgi?id=1062042

http://www.nessus.org/u?b9d1bef2

https://subversion.apache.org/security/CVE-2014-0032-advisory.txt

Plugin 詳細資訊

嚴重性: Medium

ID: 73033

檔案名稱: fedora_2014-3365.nasl

版本: 1.5

類型: local

代理程式: unix

已發布: 2014/3/17

已更新: 2021/1/11

支持的傳感器: Frictionless Assessment Agent, Nessus Agent

風險資訊

VPR

風險因素: Low

分數: 3.6

CVSS v2

風險因素: Medium

基本分數: 4.3

媒介: AV:N/AC:M/Au:N/C:N/I:N/A:P

弱點資訊

CPE: p-cpe:/a:fedoraproject:fedora:subversion, cpe:/o:fedoraproject:fedora:20

必要的 KB 項目: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list

修補程式發佈日期: 2014/3/4

參考資訊

CVE: CVE-2014-0032

FEDORA: 2014-3365