—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA1
Liebe Kolleginnen und Kollegen,
soeben erreichte uns nachfolgendes Fedora Security Advisory. Wir geben
diese Informationen unveraendert an Sie weiter.
Zwei Schwachstellen in ViewVC
In ViewVC sind zwei nicht weiter beschriebene Sicherheitsprobleme
vorhanden, die im Zusammenhang mit der Anzeige von Root Listing View
von CVS und Subversion Repositories stehen. Ein Angreifer kann diese
Schwachstellen unter Umstaenden ausnutzen, um unberechtigt auf
Repositories zuzugreifen. Im Moment stehen keine weiteren Details und
Auswirkungen dieser Schwachstellen zur Verfuegung.
Betroffen sind die folgenden Software Pakete und Plattformen:
Paket viewvc
Fedora 11
Fedora 12
Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.
Hersteller Advisory:
https://www.redhat.com/archives/fedora-package-announce/2009-December/msg01464.html
https://www.redhat.com/archives/fedora-package-announce/2009-December/msg01421.html
(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.
Mit freundlichen Gruessen,
Torsten Voss
– —
Dipl.-Ing.(FH) Torsten Voss (Incident Response Team)
DFN-CERT Services GmbH, https://www.dfn-cert.de, Phone +49 40 808077-555
Sitz / Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.: DE 232129737
Sachsenstrasse 5, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski
17. DFN Workshop “Sicherheit in vernetzten Systemen” 09./10.02.2010
Informationen unter https://www.dfn-cert.de/veranstaltungen/workshop.html
– ——————————————————————————–
Fedora Update Notification
FEDORA-2009-13610
2009-12-24 20:16:24
– ——————————————————————————–
Name : viewvc
Product : Fedora 12
Version : 1.1.3
Release : 1.fc12
URL : http://www.viewvc.org/
Summary : Browser interface for CVS and SVN version control repositories
Description :
ViewVC is a browser interface for CVS and Subversion version control
repositories. It generates templatized HTML to present navigable directory,
revision, and change log listings. It can display specific versions of files
as well as diffs between those versions. Basically, ViewVC provides the bulk
of the report-like functionality you expect out of your version control tool,
but much more prettily than the average textual command-line program output.
– ——————————————————————————–
Update Information:
* security fix: add root listing support of per-root authz config * security
fix: query.py requires ‘forbidden’ authorizer (or none) in config * fix URL-
ification of truncated log messages (issue #3) * fix regexp input validation
(issue #426, #427, #440) * add support for configurable tab-to-spaces
conversion * fix not-a-sequence error in diff view * allow viewvc-install to
work when templates-contrib is absent * minor template improvements/corrections
* expose revision metadata in diff view (issue #431) * markup file/directory
item property URLs and email addresses (issue #434) * make ViewVC cross copies
in Subversion history by default * fix bug that caused standalone.py failure
under Python 1.5.2 (issue #442) * fix support for per-vhost overrides of
authorizer parameters (issue #411) * fix root name identification in query.py
interface
– ——————————————————————————–
ChangeLog:
* Wed Dec 23 2009 Bojan Smojver
– – bump up to 1.1.3
– – drop patch for upstream issue #427
– ——————————————————————————–
This update can be installed with the “yum” update program. Use
su -c ‘yum update viewvc’ at the command line.
For more information, refer to “Managing Software with yum”,
available at http://docs.fedoraproject.org/yum/.
All packages are signed with the Fedora Project GPG key. More details on the
GPG keys used by the Fedora Project can be found at
http://fedoraproject.org/keys
– ——————————————————————————–
—–BEGIN PGP SIGNATURE—–
Version: GnuPG v1.4.2 (GNU/Linux)
iD8DBQFLOip6k0kIxZMiiQ8RApMPAKC7VytSSvCC1YQ344GkU5d6AkuBPwCcCNuk
GuychRoahbCr7UJ3kCLdwek=
=EK7v
—–END PGP SIGNATURE—–
