Mandriva Linux 安全公告:subversion (MDVSA-2013:288)
low Nessus 插件 ID 71508
语言:
简介
远程 Mandriva Linux 主机缺少一个或多个安全更新。描述
更新后的 subversion 程序包修复了安全漏洞:mod_dontdothat 允许用户针对存储库中的某些路径阻止更新 REPORT 请求。预期 REPORT 请求中的路径为绝对 URL。在许多情况下,基于 Serf 的客户端发送相对 URL,而不是绝对 URL。因此,这些客户端不会因 mod_dontdothat 的配置而阻断 (CVE-2013-4505)。
通过 SVNAutoversioning on 启用 SVNAutoversioning 后,可使用 MKCOL 和 PUT 等单个 HTTP 请求进行提交。如果在启用断言的情况下构建 Subversion,具有非标准 URL(如包含尾部 / 的 URL)的任何此类请求可触发断言。断言将导致 Apache 进程中止 (CVE-2013-4558)。
解决方案
更新受影响的数据包。另见
插件详情
严重性: Low
ID: 71508
文件名: mandriva_MDVSA-2013-288.nasl
版本: 1.5
类型: local
发布时间: 2013/12/18
最近更新时间: 2021/1/6
支持的传感器: Nessus
风险信息
VPR
风险因素: Low
分数: 3.6
CVSS v2
风险因素: Low
基本分数: 3.5
时间分数: 3
矢量: CVSS2#AV:N/AC:M/Au:S/C:N/I:N/A:P
漏洞信息
CPE: p-cpe:/a:mandriva:linux:apache-mod_dav_svn, p-cpe:/a:mandriva:linux:lib64svn-gnome-keyring0, p-cpe:/a:mandriva:linux:lib64svn0, p-cpe:/a:mandriva:linux:lib64svnjavahl1, p-cpe:/a:mandriva:linux:perl-svn, p-cpe:/a:mandriva:linux:perl-svn-devel, p-cpe:/a:mandriva:linux:python-svn, p-cpe:/a:mandriva:linux:python-svn-devel, p-cpe:/a:mandriva:linux:ruby-svn, p-cpe:/a:mandriva:linux:ruby-svn-devel, p-cpe:/a:mandriva:linux:subversion, p-cpe:/a:mandriva:linux:subversion-devel, p-cpe:/a:mandriva:linux:subversion-doc, p-cpe:/a:mandriva:linux:subversion-gnome-keyring-devel, p-cpe:/a:mandriva:linux:subversion-server, p-cpe:/a:mandriva:linux:subversion-tools, p-cpe:/a:mandriva:linux:svn-javahl, cpe:/o:mandriva:business_server:1
必需的 KB 项: Host/local_checks_enabled, Host/cpu, Host/Mandrake/release, Host/Mandrake/rpm-list
易利用性: No known exploits are available
补丁发布日期: 2013/12/17
参考资料信息
CVE: CVE-2013-4505, CVE-2013-4558
MDVSA: 2013:288