Debian DSA-3331-1:subversion - 安全性更新

medium Nessus Plugin ID 85354
新推出!Plugin 嚴重性目前使用 CVSS v3

計算 Plugin 嚴重性已更新為預設使用 CVSS v3 沒有 CVSS v3 評分的 Plugin 會回歸到以 CVSS v2 計算嚴重性。您可在設定下拉式選單中切換顯示嚴重性的喜好設定

Synopsis

遠端 Debian 主機缺少安全性更新。

描述

在版本控制系統 subversion 的伺服器元件中發現數個安全性問題。

- CVE-2015-3184 使用 Apache httpd 2.4 時,Subversion 的 mod_authz_svn 未正確限制某些混合匿名/驗證環境中的匿名存取。這會導致原來只應允許驗證存取的檔案可能接受匿名存取。此問題不會影響舊的穩定發行版本 (wheezy),因為其只包含 Apache httpd 2.2。

- CVE-2015-3187 Subversion 伺服器 (httpd 及 svnserve) 會洩漏某些應由路徑式 authz 隱藏的路徑。
將節點從無法讀取的位置複製到可讀取的位置時,可洩漏無法讀取的路徑。
此弱點只會洩漏路徑,不會洩漏路徑的內容。

解決方案

升級 subversion 套件。

針對舊的穩定發行版本 (wheezy),此問題已在 1.6.17dfsg-4+deb7u10 版本中修正。

針對穩定的發行版本 (jessie),這些問題已在 1.8.10-6+deb8u1 版本中修正。

另請參閱

https://security-tracker.debian.org/tracker/CVE-2015-3184

https://security-tracker.debian.org/tracker/CVE-2015-3187

https://packages.debian.org/source/wheezy/subversion

https://packages.debian.org/source/jessie/subversion

https://www.debian.org/security/2015/dsa-3331

Plugin 詳細資訊

嚴重性: Medium

ID: 85354

檔案名稱: debian_DSA-3331.nasl

版本: 2.4

類型: local

代理程式: unix

已發布: 2015/8/13

已更新: 2021/1/11

相依性: ssh_get_info.nasl

風險資訊

VPR

風險因素: Low

分數: 3.4

CVSS v2

風險因素: Medium

基本分數: 5

媒介: AV:N/AC:L/Au:N/C:P/I:N/A:N

弱點資訊

CPE: p-cpe:/a:debian:debian_linux:subversion, cpe:/o:debian:debian_linux:7.0, cpe:/o:debian:debian_linux:8.0

必要的 KB 項目: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l

修補程式發佈日期: 2015/8/10

參考資訊

CVE: CVE-2015-3184, CVE-2015-3187

DSA: 3331