DFN-CERT-2013-1107 Schwachstellen in Subversion [Linux][Debian]

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Paket subversion in Debian GNU/Linux 6.0 (squeeze) vor Version 1.6.12dfsg-7
Paket subversion in Debian GNU/Linux 7.0 (wheezy) vor Version
1.6.17dfsg-4+deb7u3
Für Pakete in Debian GNU/Linux unstable (sid) werden Patches nachgereicht

Betroffene Plattformen:

Debian GNU/Linux 6.0 (squeeze)
Debian GNU/Linux 7.0 (wheezy)
Debian GNU/Linux unstable (sid)


Schwachstellen in Subversion ermöglichen einem entfernten Angreifer einen
Denial-of-Service-Angriff durchzuführen.


Software Upgrade:

Der Hersteller stellt Updates zur Behebung der Schwachstelle bereit.

<http://security.debian.org/pool/updates/main/>


CVE-2013-1968: Schwachstelle in Subversion

In Subversion können Repositories im FSFS Data Store Format durch einen
Zeilenumbruch am Ende des Dateinamens korrumpiert werden. Einem entfernten
Angreifer mit einem manipulierten Client ermöglicht dies die Nutzung des
Repositories durch andere Nutzer zu unterbrechen.


CVE-2013-2112: Schwachstelle in Subversion

Falls bei einer eingehenden TCP-Verbindung die Verbindung in einem frühen
Stadium des Verbindungsaufbaus abgebrochen wird, kann es dazu kommen, dass
in Subversion der svnserve-Server-Prozess beendet wird. Dies ermöglicht
einem entfernten Angreifer einen Denial-of-Service-Angriff durchzuführen.


Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
<https://portal.cert.dfn.de/adv/DFN-CERT-2013-1107/>

Das Hersteller Advisory:
<http://www.debian.org/security/2013/dsa-2703>

Schwachstelle CVE-2013-1968:
<http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-1968>

Schwachstelle CVE-2013-2112:
<http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-2112>


(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.