远程主机上安装的 Subversion 服务器版本低于版本 1.8.3。因此，它受到多种符号链接文件覆盖漏洞的影响：

- “svnwcsub.py”文件的“handle_options”函数中存在一个错误，可允许本地攻击者使用符号链接攻击覆盖任意文件。请注意，此问题仅影响 1.8.x 分支。
 (CVE-2013-4262)

- “write_pid_file”函数中存在一个错误，可允许本地攻击者使用符号链接攻击覆盖任意文件。(CVE-2013-4277)

为 Slackware 14.0 和当前版本提供了用于修复安全问题的新 subversion 程序包。

Subversion 项目报告：

svnserve 采用 --pid-file 选项，该选项创建的文件含有运行时使用的进程 id。它并没有采取措施确保所定向的文件不是 symlink。如果 pid 文件所在的目录可由非特权用户写入，则目标可被 symlink 替换，从而允许权限升级。在默认情况下，svnserve 不创建 pid 文件。

所有版本都仅当使用了 --pid-file=ARG 选项时才有漏洞。

远程主机受到 GLSA-201309-11 中所述漏洞的影响（Subversion：多种漏洞）

在 Subversion 中发现多种漏洞。请检查下面引用的 CVE 标识符以了解详细信息。
 影响：

远程攻击者可造成拒绝服务情况或获取敏感信息。本地攻击者可将其权限升级为运行 svnserve 的用户的权限。
 变通方案：

目前无任何已知的变通方案。

此 subversion 更新包括一个安全补丁和多项次要变更。

- 更新到 to 1.7.13 [bnc#836245]

- 用户可见的变更：

- 常规

- merge：修复因冲突的文件合并而产生的虚假 mergeinfo

- diff：修复“--summarize”输出中的重复路径组件

- ra_serf：检查证书公用名时忽略大小写

- 服务器端缺陷补丁：

- svnserve：修复 pid 文件的创建 CVE-2013-4277

- mod_dav_svn：改善提交失败的状态代码

- mod_dav_svn：不将请求映射到文件系统

- 开发人员可见的更改：

- 常规：

- 不使用未初始化的变量来生成错误代码

- 绑定：

- swig-pl：修复 SVN::Client 不遵从配置文件设置的问题

- swig-pl 和 swig-py：禁用不可用的 svn_fs_set_warning_func

该更新包括 Apache Subversion 1.7 的最新稳定版本，即版本 1.7.13。此更新中修复了一个安全漏洞：

svnserve 采用 --pid-file 选项，该选项创建的文件含有运行时使用的进程 id。它并没有采取措施确保所定向的文件不是 symlink。如果 pid 文件所在的目录可由非特权用户写入，则目标可被 symlink 替换，从而允许权限升级。在默认情况下，svnserve 不创建 pid 文件。(CVE-2013-4277)

还包含了多个缺陷补丁：

- merge：修复因冲突的文件合并而产生的虚假 mergeinfo

- diff：修复“--summarize”输出中的重复路径组件

- mod_dav_svn：改善提交失败的状态代码

- mod_dav_svn：不将请求映射到文件系统

请注意，Tenable Network Security 已直接从 Fedora 安全公告中提取上述描述块。Tenable 已尝试在不引入其他问题的情况下尽可能进行了自动整理和排版。

更新后的 subversion 程序包修复了安全漏洞：

svnserve 采用 --pid-file 选项，该选项创建的文件含有运行时使用的进程 id。它并没有采取措施确保所定向的文件不是 symlink。如果 pid 文件所在的目录可由非特权用户写入，则目标可被 symlink 替换，从而允许权限升级。在默认情况下，svnserve 不创建 pid 文件 (CVE-2013-4277)。

ID	名称	产品	系列	发布时间	最近更新时间	严重程度
71568	Apache Subversion 1.4.x - 1.7.12 / 1.8.x < 1.8.3 多种符号链接文本覆盖漏洞	Nessus	Windows	2013/12/20	2019/11/27	low
69818	Slackware 14.0 / 最新：subversion (SSA:2013-251-01)	Nessus	Slackware Local Security Checks	2013/9/10	2021/1/14	low
69546	FreeBSD：svnserve 受到通过符号链接攻击造成的本地权限升级漏洞的影响。(f8a913cc-1322-11e3-8ffa-20cf30e32f6d)	Nessus	FreeBSD Local Security Checks	2013/9/3	2021/1/6	low
70084	GLSA-201309-11：Subversion：多种漏洞	Nessus	Gentoo Local Security Checks	2013/9/24	2021/1/6	high
75143	openSUSE 安全更新：subversion (openSUSE-SU-2013:1442-1)	Nessus	SuSE Local Security Checks	2014/6/13	2021/1/19	low
69814	Fedora 19：subversion-1.7.13-1.fc19 (2013-15717)	Nessus	Fedora Local Security Checks	2013/9/8	2021/1/11	low
69939	Mandriva Linux 安全公告：subversion (MDVSA-2013:236)	Nessus	Mandriva Local Security Checks	2013/9/18	2021/1/6	low

检测

插件搜索

low

low

low

high

low

low

low