S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 21 mai 2004
N° CERTA-2004-AVI-170-002
Affaire suivie par: CERT-FR
le 21 mai 2004

Avis du CERT-FR

Objet: Vulnérabilité du serveur CVS

Gestion du document

Référence CERTA-2004-AVI-170-002
Titre Vulnérabilité du serveur CVS
Date de la première version 21 mai 2004
Date de la dernière version 15 juin 2004
Source(s) Avis de sécurité eMatters
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Elévation de privilèges ;
  • exécution de code arbitraire à distance.

Systèmes

Les versions de CVS égales ou antérieures à la version 1.11.15 (branche stable) sont affectées.

Résumé

Une vulnérabilité de type débordement de mémoire présente dans la partie serveur de CVS (``Concurrent Versions System'') peut être exploitée par un utilisateur mal intentionné afin d'exécuter du code arbitraire à distance sur une machine hébergeant un serveur CVS vulnérable.

Description

CVS (``Concurrent Versions System'') est un système client/serveur utilisé pour la gestion des versions de fichiers essentiellement textuels. A cause d'une erreur de programmation dans l'analyse des données reçues, il est possible, à l'aide dune ligne ``Entry'' habilement construite, d'écrire au-delà de la mémoire allouée. Cela peut être exploité pour exécuter du code avec les privilèges du serveur.

Solution

Mettre à jour le serveur (version source 1.11.16) en suivant les recommendations de l'éditeur.

Documentation

Gestion détaillée du document

    le 21 mai 2004
    version initiale.
    le 24 mai 2004
    corrections de liens et ajout de la référence NetBSD.
    le 15 juin 2004
    modification de la référence NetBSD.