遠端主機上安裝的 Subversion 伺服器版本比 1.8.3 版舊。因此受到多個符號連結檔案覆寫弱點影響：

- 在 'svnwcsub.py' 檔案的 'handle_options'　函式中存在一個錯誤，此錯誤可允許本機攻擊者使用符號連結攻擊覆寫任意檔案。請注意，此問題只會影響 1.8.x 分支。
 (CVE-2013-4262)

- 在 'write_pid_file' 函式中存在一個錯誤，此錯誤可允許本機攻擊者使用符號連結攻擊覆寫任意檔案。(CVE-2013-4277)

現已提供適用於 Slackware 14.0 和最新版本的新 subversion 套件，可修正一個安全性問題。

Subversion 專案報告：

Svnserve 採用 --pid-file 選項，其可建立含有執行時所用之處理程序 ID 的檔案。而且不會採取步驟去確認導向至的目標檔案不是符號連結。如果 pid 檔案所在的目錄可讓無權限的使用者寫入，則該目的地就可遭到符號連結取代，從而允許權限提升。Svnserve 預設不會建立 pid 檔案。

只有在使用 --pid-file=ARG 選項時，所有版本才容易受到影響。

遠端主機受到 GLSA-201309-11 中所述的弱點影響 (Subversion：多個弱點)

在 Subversion 中發現多個弱點。如需詳細資訊，請檢閱以下提及的 CVE 識別碼。
 影響：

遠端攻擊者可造成拒絕服務情況或取得敏感資訊。本機攻擊者可能提升自己的權限，即獲得執行 svnserve 的使用者權限。
 因應措施：

目前尚無已知的因應措施。

Linux/Unix 主機上安裝了一個或多個受到弱點影響的套件，且供應商未提供可用的修補程式。

  - Apache Subversion 1.4.0 至 1.7.12 和 1.8.0 至 1.8.1 中的 Svnserve 允許本機使用者透過 --pid-file 選項所指定之檔案上的符號連結攻擊，覆寫任意檔案或終止任意處理程序。 (CVE-2013-4277)

請注意，Nessus 依賴供應商報告的套件存在。

此 Subversion 更新包含一個安全性修正和數個次要變更。

- 更新至 1.7.13 [bnc#836245]

- 使用者可見的變更：

- 一般

- merge：修正含有衝突檔案合併的假 mergeinfo

- diff：修正「--summarize」輸出中的重複路徑元件。

- ra_serf：檢查憑證常用名稱時忽略大小寫

- 伺服器端錯誤修正：

- svnserve：修正 pid 檔案的建立 CVE-2013-4277

- mod_dav_svn：改善認可失敗的狀態程式碼

- mod_dav_svn：不將要求對應至檔案系統

- 開發人員可看到的變更：

- 一般：

- 不使用未初始化的變數來產生錯誤碼

- 繫結：

- swig-pl：修正 SVN::Client 不接受組態檔設定

- swig-pl & swig-py：停用無法使用的 svn_fs_set_warning_func

此更新含有 Apache Subversion 1.7、1.7.13 版的最新版本。此更新已修正一個安全性弱點：

Svnserve 採用 --pid-file 選項，其可建立含有執行時所用之處理程序 ID 的檔案。而且不會採取步驟去確認導向至的目標檔案不是符號連結。如果 pid 檔案所在的目錄可讓無權限的使用者寫入，則該目的地就可遭到符號連結取代，從而允許權限提升。Svnserve 預設不會建立 pid 檔案。(CVE-2013-4277)

亦包含數個錯誤修正：

- merge：修正含有衝突檔案合併的假 mergeinfo

- diff：修正「--summarize」輸出中的重複路徑元件。

- mod_dav_svn：改善認可失敗的狀態程式碼

- mod_dav_svn：不將要求對應至檔案系統

請注意，Tenable Network Security 已直接從 Fedora 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。

更新版 subversion 套件可修正安全性弱點：

Svnserve 採用 --pid-file 選項，其可建立含有執行時所用之處理程序 ID 的檔案。而且不會採取步驟去確認導向至的目標檔案不是符號連結。如果 pid 檔案所在的目錄可讓無權限的使用者寫入，則該目的地就可遭到符號連結取代，從而允許權限提升。Svnserve 預設不會建立 pid 檔案 (CVE-2013-4277)。

ID	名稱	產品	系列	已發布	已更新	嚴重性
71568	Apache Subversion 1.4.x - 1.7.12 / 1.8.x < 1.8.3 多個符號連結檔案覆寫弱點	Nessus	Windows	2013/12/20	2019/11/27	low
69818	Slackware 14.0 / 最新版本：subversion (SSA：2013-251-01)	Nessus	Slackware Local Security Checks	2013/9/10	2021/1/14	low
69546	FreeBSD：透過符號連結攻擊，svnserve 容易受到一個本機權限提升弱點影響。(f8a913cc-1322-11e3-8ffa-20cf30e32f6d)	Nessus	FreeBSD Local Security Checks	2013/9/3	2021/1/6	low
70084	GLSA-201309-11：Subversion：多個弱點	Nessus	Gentoo Local Security Checks	2013/9/24	2021/1/6	high
217924	Linux Distros 未修補弱點：CVE-2013-4277	Nessus	Misc.	2025/3/4	2025/9/4	high
75143	openSUSE 安全性更新：subversion (openSUSE-SU-2013:1442-1)	Nessus	SuSE Local Security Checks	2014/6/13	2021/1/19	low
69814	Fedora 19：subversion-1.7.13-1.fc19 (2013-15717)	Nessus	Fedora Local Security Checks	2013/9/8	2021/1/11	low
69939	Mandriva Linux 安全性公告：subversion (MDVSA-2013:236)	Nessus	Mandriva Local Security Checks	2013/9/18	2021/1/6	low

偵測

搜尋 Plugin

low

low

low

high

high

low

low

low