CERTA-2004-AVI-190

Vulnerability from certfr_avis - Published: - Updated:

None

Description

CVS (``Concurrent Versions System'') est un système client/serveur utilisé pour la gestion des versions de fichiers essentiellement textuels.

Un audit de code a révélé que de nombreuses vulnérabilités de type débordement de mémoire sont présentes dans le code du serveur CVS.

Un utilisateur mal intentionné peut utiliser ces vulnérabilités afin de réaliser un déni de service ou l'exécution de code arbitraire, à distance, sur une plate-forme vulnérable.

Solution

Les versions 1.11.17 ou 1.12.9 disponibles sur le site CVS (cf. section Documentation) corrigent ces vulnérabilités.

None
Impacted products
Vendor Product Description
N/A N/A les versions de CVS égales ou antérieures à la version 1.12.8 (branche de développement) sont affectées.
N/A N/A Les versions de CVS égales ou antérieures à la version 1.11.16 (branche stable) sont affectées ;
References

Show details on source website
To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [
    {
      "description": "les versions de CVS \u00e9gales ou ant\u00e9rieures \u00e0 la version 1.12.8 (branche de d\u00e9veloppement) sont affect\u00e9es.",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "N/A",
          "scada": false
        }
      }
    },
    {
      "description": "Les versions de CVS \u00e9gales ou ant\u00e9rieures \u00e0 la version 1.11.16 (branche stable) sont affect\u00e9es ;",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "N/A",
          "scada": false
        }
      }
    }
  ],
  "affected_systems_content": null,
  "content": "## Description\n\nCVS (\\`\\`Concurrent Versions System\u0027\u0027) est un syst\u00e8me client/serveur\nutilis\u00e9 pour la gestion des versions de fichiers essentiellement\ntextuels.\n\n  \n\nUn audit de code a r\u00e9v\u00e9l\u00e9 que de nombreuses vuln\u00e9rabilit\u00e9s de type\nd\u00e9bordement de m\u00e9moire sont pr\u00e9sentes dans le code du serveur CVS.\n\nUn utilisateur mal intentionn\u00e9 peut utiliser ces vuln\u00e9rabilit\u00e9s afin de\nr\u00e9aliser un d\u00e9ni de service ou l\u0027ex\u00e9cution de code arbitraire, \u00e0\ndistance, sur une plate-forme vuln\u00e9rable.\n\n## Solution\n\nLes versions 1.11.17 ou 1.12.9 disponibles sur le site CVS (cf. section\nDocumentation) corrigent ces vuln\u00e9rabilit\u00e9s.\n",
  "cves": [],
  "links": [
    {
      "title": "Bulletin de s\u00e9curit\u00e9 RHSA-2004:233 de Red Hat du 09 juin    2004 :",
      "url": "http://rhn.redhat.com/errata/RHSA-2004-233.html"
    },
    {
      "title": "Avis de s\u00e9curit\u00e9 DSA-519 de Debian du 15 juin 2004 :",
      "url": "http://www.debian.org/security/2004/dsa-519"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 MDKSA-2004:058 de Mandrake du 09 juin    2004 :",
      "url": "http://www.mandrakesecure.net/en/advisories/advisory.php?name=MDKSA-2004:058"
    },
    {
      "title": "Avis de s\u00e9curit\u00e9 GLSA-200406-06 de Gentoo du 10 juin 2004 :",
      "url": "http://www.gentoo.org/security/en/glsa/glsa-200406-06.xml"
    },
    {
      "title": "site Internet de CVS :",
      "url": "http://www.cvshome.org"
    },
    {
      "title": "Avis de s\u00e9curit\u00e9 DSA-517 de Debian du 10 juin 2004 :",
      "url": "http://www.debian.org/security/2004/dsa-517"
    },
    {
      "title": "Avis de s\u00e9curit\u00e9 OpenBSD pour CVS du 09 juin 2004 :",
      "url": "http://www.openbsd.org/errata.html"
    },
    {
      "title": "Mise \u00e0 jour de s\u00e9curit\u00e9 du paquetage NetBSD cvs :",
      "url": "ftp://ftp.netbsd.org/pub/NetBSD/packages/pkgsrc/devel/cvs/README.html"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 SuSE-SA:2004:015 de SuSE du 09 juin    2004 :",
      "url": "http://www.suse.com/de/security/2004_15_cvs.html"
    },
    {
      "title": "Avis de s\u00e9curit\u00e9 d\u0027eMatters :",
      "url": "http://security.e-matters.de/advisories/092004.html"
    }
  ],
  "reference": "CERTA-2004-AVI-190",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2004-06-10T00:00:00.000000"
    },
    {
      "description": "ajout des r\u00e9f\u00e9rences aux bulletins de Debian et Gentoo.",
      "revision_date": "2004-06-11T00:00:00.000000"
    },
    {
      "description": "ajout de la r\u00e9f\u00e9rence \u00e0 la mise \u00e0 jour de NetBSD.",
      "revision_date": "2004-06-14T00:00:00.000000"
    },
    {
      "description": "ajout de la r\u00e9f\u00e9rence au bulletin de s\u00e9curit\u00e9 Debian.",
      "revision_date": "2004-06-15T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Ex\u00e9cution de code arbitraire \u00e0 distance"
    },
    {
      "description": "D\u00e9ni de service"
    }
  ],
  "summary": null,
  "title": "Vuln\u00e9rabilit\u00e9s de CVS",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Bulletin de s\u00e9curit\u00e9 \"More CVS remote vulnerabilities\" d\u0027e-matters",
      "url": null
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or observed by the user.
  • Confirmed: The vulnerability has been validated from an analyst's perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
  • Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
  • Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
  • Not confirmed: The user expressed doubt about the validity of the vulnerability.
  • Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.



Detection rules are retrieved from Rulezet.