Cuando la versión 1.0.7 todavía no se ha enfriado en los servidores de
descarga, la comunidad Subversion publica una nueva actualización de
seguridad de su producto.
Subversion es un sistema de control de versiones Open Source, inspirado
en el popular pero prehistórico CVS. Subversion es un diseño y
desarrollo nuevo, 100% desde cero, supliendo la mayoría de las carencias
y defectos del vetusto CVS y proporcionando un entorno eficiente y muy
flexible.
La vulnerabilidad reside en el módulo «mod_authz_svn», un componente
para el servidor HTTP Apache. Dicho módulo no restringe apropiadamente
el acceso a los metadatos de los repositorios, pudiendo acceder a sí a
información potencialmente sensible.
Hispasec recomienda a todos los usuarios y administradores de sistemas
Subversion que actualicen a la versión 1.0.8, sobre todo si utilizan el
componente Apache descrito. Hispasec también recuerda a sus lectores la
conveniencia de descargar software desde fuentes reputadas y de
confianza. En caso de duda se puede utilizar cualquier «mirror» y
contrastar la huella criptográfica MD5, que es
«40b5b5edd4e0daec802661cd64d562e4» para «subversion-1.0.8.tar.gz»,
«b2378b7d9d00653249877531a61ef1db» para «subversion-1.0.8.tar.bz2» y
9fec445c8ffdad08cd89515c62de9c4d» para «subversion-1.0.8.zip».
jcea@hispasec.com
Más información:
Subversion 1.0.8 released. *SECURITY FIX*
http://subversion.tigris.org/servlets/NewsItemView?newsItemID=907
mod_authz_svn fails to protect metadata
http://subversion.tigris.org/security/CAN-2004-0749-advisory.txt
Subversion Project Home
http://subversion.tigris.org/
Deja una respuesta