Objet: Vulnérabilités dans Apache Subversion

Risque

• Déni de service à distance ;
• contournement de la politique de sécurité.

Systèmes affectés

Apache Subversion, versions antérieures à la version 1.6.15.

Résumé

Plusieurs vulnérabilités, présentes dans Apache Subversion, permettent à un utilisateur malveillant de contourner la politique de sécurité ou de provoquer un déni de service à distance.

Description

Deux vulnérabilités dans Apache Subversion permettent à un utilisateur authentifié de contourner des restrictions d'accès et d'obtenir des informations sans y être autorisé.

Deux autres vulnérabilités permettent à un utilisateur distant authentifié de provoquer un déni de service par le biais d'une corruption de la mémoire ou d'un épuisement de ressources système.

Solution

La version Apache Subversion 1.6.15 remédie à ces vulnérabilités.

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

• Liste des changements apportés par la version 1.6.15 d'Apache Subversion du 26 novembre 2010 :

  http://svn.apache.org/repos/asf/subversion/tags/1.6.15/CHANGES
  

• Bulletin de sécurité Fedora FEDORA-2011-0099 du 18 janvier 2011 :

  http://http://lists.fedoraproject.org/pipermail/package-announce/2011-January/053230.html
  

• Bulletin de sécurité Mandriva MDVSA-2011:006 du 14 janvier 2011 :

  http://www.mandriva.com/archives/security/advisories/?name=MDVSA-2011:006
  

• Bulletin de sécurité Ubuntu USN-1053-1 du 01 février 2011 :

  http://www.ubuntu.com/usn/usn-1053-1
  

• Référence CVE CVE-2007-2448 :

  https://www.cve.org/CVERecord?id=CVE-2007-2448
  

• Référence CVE CVE-2010-3315 :

  https://www.cve.org/CVERecord?id=CVE-2010-3315
  

• Référence CVE CVE-2010-4539 :

  https://www.cve.org/CVERecord?id=CVE-2010-4539
  

• Référence CVE CVE-2010-4644 :

  https://www.cve.org/CVERecord?id=CVE-2010-4644