检测

Fedora 20:subversion-1.8.5-2.fc20 (2013-22575)

low Nessus 插件 ID 71775

语言:

简介

远程 Fedora 主机缺少安全更新。

描述

该更新包括 Apache Subversion 1.8 的最新稳定版本,即版本 1.8.5。包括两个安全补丁:

mod_dontdothat 允许用户针对存储库中的某些路径阻止更新 REPORT 请求。预期 REPORT 请求中的路径为绝对 URL。在许多情况下,基于 Serf 的客户端发送相对 URL,而不是绝对 URL。因此,这些客户端不会因 mod_dontdothat 的配置而阻断。(CVE-2013-4505)

通过“SVNAutoversioning on”启用 SVNAutoversioning 后,可使用 MKCOL 和 PUT 等单个 HTTP 请求进行提交。如果在启用断言的情况下构建 Subversion,具有非标准 URL(如包含尾部 / 的 URL)的任何此类请求可触发断言。断言将导致 Apache 进程中止。
(CVE-2013-4558)

此更新中包含的其他补丁如下:

客户端缺陷补丁:

- 修复指向重定向位置的外部项

- diff:通过在副本内移动修复断言

服务器端缺陷补丁:

- mod_dav_svn:阻止通过某些第三方模块造成的崩溃

- mod_authz_svn:修复无效配置导致的 mod_authz_svn 崩溃

- hotcopy:修复打包的存储库中热拷贝丢失 revprop 文件

请注意,Tenable Network Security 已直接从 Fedora 安全公告中提取上述描述块。Tenable 已尝试在不引入其他问题的情况下尽可能进行了自动整理和排版。

解决方案

更新受影响的 subversion 程序包。

另见

https://bugzilla.redhat.com/show_bug.cgi?id=1033431

https://bugzilla.redhat.com/show_bug.cgi?id=1033995

http://www.nessus.org/u?7663a73a

插件详情

严重性: Low

ID: 71775

文件名: fedora_2013-22575.nasl

版本: 1.5

类型: local

代理: unix

发布时间: 2014/1/2

最近更新时间: 2021/1/11

支持的传感器: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

风险信息

VPR

风险因素: Low

分数: 3.6

CVSS v2

风险因素: Low

基本分数: 3.5

时间分数: 3

矢量: CVSS2#AV:N/AC:M/Au:S/C:N/I:N/A:P

漏洞信息

CPE: p-cpe:/a:fedoraproject:fedora:subversion, cpe:/o:fedoraproject:fedora:20

必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list

易利用性: No known exploits are available

补丁发布日期: 2013/12/2

参考资料信息

CVE: CVE-2013-4505, CVE-2013-4558

BID: 63966, 63981

FEDORA: 2013-22575