{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[],"affected_systems_content":"<P>Tout syst\u00e8me h\u00e9bergeant un serveur CVS en version 1.11.9 et  ant\u00e9rieures.</P>","content":"## Description\n\nCVS est un syst\u00e8me client/serveur de contr\u00f4le de versions. Il est en\nparticulier utilis\u00e9 pour g\u00e9rer les sources des logiciels en\nd\u00e9veloppement. Un utilisateur mal intentionn\u00e9 peut envoyer des requ\u00eates\nmalicieuses qui seront mal interpr\u00e9t\u00e9es par le serveur qui tentera alors\nde cr\u00e9er des fichiers en dehors de son arborescence.\n\n## Contournement provisoire\n\nLes droits de la racine ne permettent usuellement pas au compte\nutilisateur du serveur CVS de cr\u00e9er des fichiers. V\u00e9rifier que c'est le\ncas et \u00e9ventuellement modifier les droits.\n\n## Solution\n\nMettre \u00e0 jour.\n\n-   Sources en version 1.11.10 au moins :\n\n        http://ccvs.cvshome.org/servlets/ProjectDownloadList\n\n-   Mandrake Linux :\n\n        http://www.mandrakesecure.net/en/advisories/advisory.php?name=MDKSA-2003:112\n\n-   Slackware Linux :\n\n        http://www.slackware.com/lists/archive/viewer.php?l=slackware-security&y=2003&m=slackware-security.402538\n\n-   Gentoo :\n\n        http://www.securityfocus.com/advisories/6161\n\n-   Red Hat :\n\n        http://rhn.redhat.com/errata/RHSA-2004-003.html\n\n-   Debian :\n\n        http://www.debian.org/security/2004/dsa-422\n","cves":[],"links":[],"reference":"CERTA-2003-AVI-216","revisions":[{"description":"version initiale.","revision_date":"2003-12-22T00:00:00.000000"},{"description":"Ajout r\u00e9f\u00e9rence aux bulletins de s\u00e9curit\u00e9 de Gentoo et Red Hat.","revision_date":"2004-01-13T00:00:00.000000"},{"description":"Ajout r\u00e9f\u00e9rence au bulletin de s\u00e9curit\u00e9 de Debian.","revision_date":"2004-01-14T00:00:00.000000"}],"risks":[{"description":"Cr\u00e9ations de r\u00e9pertoires et fichiers arbitraires"}],"summary":"Il est possible de demander au serveur CVS de tenter de cr\u00e9er des\nr\u00e9pertoires et \u00e9ventuellement des fichiers dans la racine du syst\u00e8me\nh\u00f4te.\n","title":"Faille dans le serveur CVS","vendor_advisories":[]}