1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
|
<define-tag description>Entfernte Verwundbarkeit</define-tag>
<define-tag moreinfo>
<p>Die Kontenverwaltung des pservers von CVS (der entfernten Zugriff auf
CVS-Depots ermöglicht) verwendet die Datei <kbd>CVSROOT/passwd</kbd> aus jedem
Depot, das die Konten- und Authentifizierungsinformationen sowie den Namen des
lokal verwendeten Unix-Kontos enthält, das für das pserver-Konto verwendet
wird. Da CVS keine Prüfung durchführt, welches Unix-Konto angegeben ist,
könnte jeder, der <kbd>CVSROOT/passwd</kbd> ändern kann, Zugriff auf alle
lokalen Benutzer auf dem CVS-Server erhalten, inklusive root.</p>
<p>Dies wurde in der Upstream-Version 1.11.11 geändert, indem es unterbunden
wurde, dass pserver als root läuft. Für Debian wurde dieses Problem in Version
1.11.1p1debian-9 auf zwei Arten gelöst:</p>
<ul>
<li>pserver ist es nicht mehr erlaubt, root zu verwenden, um auf Depots
zuzugreifen.</li>
<li>Eine neue Datei <kbd>/etc/cvs-repouid</kbd> wurde eingeführt, die vom
Systemadministrator verwendet werden kann, um das Unix-Konto
festzuschreiben, mit dem auf das Depot zugegriffen wird. Weitere
Informationen über diese Änderung sind unter
<url "http://www.wiggy.net/code/cvs-repouid/"> zu finden.</li>
</ul>
<p>Zusätzlich hatte CVS-pserver einen Fehler in der Verarbeitung von
Modul-Anfragen, der verwendet werden könnte, um Dateien und Verzeichnisse
außerhalb eines Depots zu erstellen. Dies wurde Upstream in Version
1.11.11 und in der Debian-Version 1.11.1p1debian-9 behoben.</p>
<p>Zu guter Letzt wurde die umask geändert, die für »cvs init« und
»cvs-makerepos« verwendet wurde, um zu verhindern, dass Depots mit
Gruppenschreibrechten erstellt werden.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2004/dsa-422.data"
#use wml::debian::translation-check translation="55a70d0c0f3df8d4df237334ac6de72daaa99f73"
# $Id$
|
