Risque
Divulgation d'informations.
Systèmes affectés
Toutes les versions de viewcvs.
Résumé
Plusieurs vulnérabilités dans viewcvs permettent à un utilisateur mal intentionné d'accéder à des informations non autorisées.
Description
viewcvs est un outil permettant de visualiser des répertoires CVS ou subversion via le protocole HTTP.Les options hide_cvsroot et forbidden ne sont pas traitées correctement ce qui permet à un utilisateur mal intentionné de contourner la politique de sécurité et d'accéder à des informations non autorisées.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Site Internet de viewcvs :
http://viewcvs.sourceforge.net
- Bulletin de sécurité Debian DSA-605 du 06 décembre 2004 :
http://www.debian.org/security/2004/dsa-605
- Bulletin de sécurité FreeBSD pour viewcvs du 08 décembre 2004 :
http://www.vuxml.org/freebsd/
- Référence CVE CAN-2004-0915 :
https://www.cve.org/CVERecord?id=CAN-2004-0915