Fedora 15：subversion-1.6.17-1.fc15 (2011-8352)

medium Nessus 插件 ID 55412

语言：

简介

远程 Fedora 主机缺少安全更新。

描述

此更新包含最新发布的 Subversion，修复了三个安全问题：

在 mod_dav_svn 模块处理某些数据集的方式中发现无限循环缺陷。如果 SVNPathAuthz 指令设置为“short_circuit”并且对文件和目录启用了基于路径的访问控制，恶意的远程用户可利用此缺陷导致 httpd 进程响应消耗过多系统内存的请求。(CVE-2011-1783)

在 mod_dav_svn 模块处理向基线资源的 URL 提交请求的方式中发现空指针取消引用缺陷。恶意的远程用户可利用此缺陷导致 httpd 进程响应造成崩溃的请求。(CVE-2011-1752)

对文件和目录启用了基于路径的访问控制时，在 mod_dav_svn 模块处理某些 URL 的方式中发现一个信息泄露缺陷。恶意的远程用户可能利用此缺陷访问存储库中某些本应为不可访问的文件。注意：如果 SVNPathAuthz 指令设置为“short_circuit”，将不会触发此漏洞。
(CVE-2011-1921)

Fedora 项目团队在此感谢 Apache Subversion 项目团队报告这些问题。上游感谢 CVE-2011-1752 的原始报告者 Apache Software Foundation 的 Joe Schaefer；CVE-2011-1783 的原始报告者 VisualSVN 的 Ivan Zhakov；CVE-2011-1921 的原始报告者 CollabNet Inc.的 Kamesh Jayachandran。

此版本还修复了以下缺陷：

- 使“blame -g”在与大型 mergeinfo 一起使用时效率更高

- 通过非零编辑器退出保留日志消息

- 修复了 64 位平台上的 FSFS 缓存性能

- 使用 svn 清空默许阻塞的目录

- 修复了多线程服务器运行 FSFS 存储库时的死锁问题

- 检测极其少见的损坏和中止提交

- 已修复：文件外部引起的不可继承 mergeinfo

- 已修复：文件外部引起的混合修订工作副本

- 已修复：连续写入代理可直接提交至从属装置

- 检测 FSFS 中的具体损坏情况

- 改进客户端参考未知修订时的错误消息

- 针对 DAV 镜像代码的缺陷补丁和优化

- 已修复：已锁定并删除的文件导致的树冲突

- 已修复：更新接触到具有 svn 关键词属性的已锁定文件

- 修复了 svnsync 对目录 copyfrom 的处理

- 修复了“log -g”的过多重复输出

- 通过 BDB 修复了 svnsync copyfrom 处理缺陷

- 提交期间 svn:mergeinfo 语法在服务器端的验证

请注意，Tenable Network Security 已直接从 Fedora 安全公告中提取上述描述块。Tenable 已尝试在不引入其他问题的情况下尽可能进行了自动整理和排版。