Mehrere Schwachstellen im Concurrent Versions System (CVS)

Das neue Release 1.11.20 des Versionskontrollsystems Concurrent Versions System (CVS) beseitigt mehrere Schwachstellen in der Server-Software. Dem Changelog zufolge ist aber die Tragweite der Fehler nicht genau bekannt. Zwar handelt es sich um Buffer Overflows und Speicherlecks, ob sich darüber aber Code einschleusen lässt, der Server abstürzt oder gar nichts passiert, lässt der Text offen. Ein fehlerhaftes Perl-Skript soll immerhin das Ausführen von Code auf dem Server ermöglichen. Dazu muss sich ein Angreifer aber zuvor angemeldet und das Skript installiert haben.

Der Linux-Distributor Gentoo macht zwar auch keine näheren Angaben zu den Schwachstellen, schätzt die Sache aber etwas ernster ein und klassifiziert in seinem Advisory alle Lücken als kritisch. Suse weist in seinem Announcement nur lapidar auf "various Problems" hin, die durch Pufferüberläufe und Speicherzugriffsprobleme entstünden. Beide Anbieter stellen aktualisierte Pakete zur Verfügung.

Siehe dazu auch: (dab)

• Server Security Fixes auf cvshome.org