Las versiones de Subversion previas a la 1.0.3 contienen una
vulnerabilidad que permite la ejecución de código arbitrario tanto en
los clientes como en los servidores SVN.
Subversion es un sistema de control de versiones Open Source, inspirado
en el popular pero prehistórico CVS. Subversion es un diseño y
desarrollo nuevo, 100% desde cero, supliendo la mayoría de las carencias
y defectos del vetusto CVS y proporcionando un entorno eficiente y muy
flexible.
Las versiones no actualizadas de Subversion contienen una vulnerabilidad
en el código de gestión de fechas que permite que un atacante ejecute
código arbitrario en el servidor (si el atacante actúa como cliente) o
en los clientes (si el atacante actúa como servidor). Adicionalmente los
clientes con repositorios compartidos o que permitan la escritura de
otros usuarios son susceptibles de ataque.
Los usuarios de Subversion (tanto cliente como servidor) deben
actualizar a la versión 1.0.3 o superior. La versión actual es la 1.0.4.
Hispasec recuerda a sus lectores la conveniencia de descargar software
desde fuentes reputadas y de confianza. En caso de duda se puede
utilizar cualquier “mirror” y contrastar la huella criptográfica MD5,
que es “1d5722a515be8f1aa6cfb779d99c6a11” para
“subversion-1.0.3.tar.gz”, y “fdf54470ac280e9b7cb008e907ec275a” para
“subversion-1.0.4.tar.gz”.
jcea@hispasec.com
Más información:
Subversion 1.0.3 Security Update Released
http://www.osnews.com/comment.php?news_id=7090
Subversion
http://subversion.tigris.org/
Deja un comentario