DSA-517-1: cvs -- puffer túlcsordulás

Bug

Csomag: cvs

Sebezhetőség: puffer túlcsordulás

Probléma-típusa: távoli

Debian-specifikus: nem

CVE ID: CAN-2004-0414Derek Robert Price puffer túlcsordulási hibát fedezett fel a CVS server-ben.

A stabil disztribúcióban (woody) a problemát a 1.11.1p1debian-9woody6-os;

az instabilban (sid) a 1.12.8-1-es csomagverzióban javítják;

A CVS csomagok frissítése ajánlott!

Martin Schulze bejelentése | hír a DSA lapon | a frissítésről szóló FAQ-nk.

( Pontscho | 2004. 06. 11., p – 00:32 )

Azt hiszem a cvs lassan atveszi 'a legbugosabb szoftver' cimet az OpenSSH - tol :)

Pontscho / fresh!mindworkz

Sziasztok,

Nem akartam új topicot nyitni. NetBeans miatt kellene egy CVS Server. felhúztam, belőttem ahogy a howto-ja írja. user létrehoz repo detto. cvs server start.

majd cvs :pserver:user@localhost:/repo login

ekkor a cvs bekéri a jelszavamat, és közli:

cvs [login aborted]: unrecognized auth response from localhost: cvs: unrecognized option `--allow-root=/repo'

Root Jail van a /var/lib/cvsd mappára, buildroot repo kreálás megvolt, user létezik.

de a guestre/anonymousra is ezt nyomja.

A vicc az, hogy senki nem ad át neki ilyen paramétert. elvileg a cvsd.conf-ból kellene kivennie.
A /usr/bin/cvs 1.12.12-esnek vallja magát,
a /usr/sbin/cvsd 1.0.8-esnek.

Pls help!