发布日期：2003-12-09
更新日期：2003-12-15

受影响系统：

CVS CVS 1.11.6
CVS CVS 1.11.5
CVS CVS 1.11.4
CVS CVS 1.11.3
CVS CVS 1.11.2
CVS CVS 1.11
CVS CVS 1.10.8
CVS CVS 1.10.7
CVS CVS 1.11.1p1
    - Debian Linux 3.0
    - Mandrake Linux 8.2
    - OpenBSD 3.2
    - OpenBSD 3.1
    - RedHat Linux 7.3
    - RedHat Linux 7.2
    - RedHat Linux 7.1
    - RedHat Linux 7.0
    - RedHat Linux 6.2

不受影响系统：

CVS CVS 1.11.10

描述：

---

BUGTRAQ  ID: 9178
CVE(CAN) ID: CVE-2003-0977

Concurrent Versions System (CVS)是一款开放源代码的版本控制软件。

CVS系统由于在处理部分类型请求时存在问题，远程攻击者可以利用这个漏洞在主机系统上的ROOT目录文件系统中建立文件。

提交恶意的模块请求可使CVS服务程序在ROOT文件系统上建立目录或文件，目前没有详细漏洞细节提供。

<*来源：Derek Price （derek@ximbiot.com）
  
  链接：http://ccvs.cvshome.org/servlets/NewsItemView?newsID=84&JServSessionIdservlets=8u3x1myav1
        http://www.linux-mandrake.com/en/security/2003/2003-112.php
*>

建议：

---

厂商补丁：

CVS
---
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

CVS Upgrade cvs-1.11.10.tar.bz2
http://ccvs.cvshome.org/servlets/ProjectDownloadList?action=download&dlID=384

MandrakeSoft
------------
MandrakeSoft已经为此发布了一个安全公告（MDKSA-2003:112-1）以及相应补丁:
MDKSA-2003:112-1：Updated cvs packages fix malformed module request vulnerability
链接：http://www.linux-mandrake.com/en/security/2003/2003-112.php

补丁下载：

Updated Packages:

Mandrake Linux 9.1:
ftp://download.sourceforge.net/pub/mirrors/mandrake/updates/9.1/RPMS/cvs-1.11.10-0.2.91mdk.i586.rpm
ftp://download.sourceforge.net/pub/mirrors/mandrake/updates/9.1/SRPMS/cvs-1.11.10-0.2.91mdk.src.rpm

Mandrake Linux 9.1/PPC:
ftp://download.sourceforge.net/pub/mirrors/mandrake/updates/ppc/9.1/RPMS/cvs-1.11.10-0.2.91mdk.ppc.rpm
ftp://download.sourceforge.net/pub/mirrors/mandrake/updates/ppc/9.1/SRPMS/cvs-1.11.10-0.2.91mdk.src.rpm

Mandrake Linux 9.2:
ftp://download.sourceforge.net/pub/mirrors/mandrake/updates/9.2/RPMS/cvs-1.11.10-0.2.92mdk.i586.rpm
ftp://download.sourceforge.net/pub/mirrors/mandrake/updates/9.2/SRPMS/cvs-1.11.10-0.2.92mdk.src.rpm

上述升级软件还可以在下列地址中的任意一个镜像ftp服务器上下载：
http://www.mandrakesecure.net/en/ftp.php

浏览次数：3149
严重程度：0（网友投票）