安全研究
安全漏洞
CVS未文档化标记信息泄露漏洞
发布日期:2004-08-16
更新日期:2004-08-18
受影响系统:CVS CVS 1.12.8
CVS CVS 1.12.7
CVS CVS 1.12.2
CVS CVS 1.12.1
CVS CVS 1.11.6
CVS CVS 1.11.5
CVS CVS 1.11.4
CVS CVS 1.11.3
CVS CVS 1.11.2
CVS CVS 1.11.1p1
CVS CVS 1.11.16
CVS CVS 1.11.15
CVS CVS 1.11.14
CVS CVS 1.11.11
CVS CVS 1.11.10
CVS CVS 1.11
不受影响系统:CVS CVS 1.12.9
CVS CVS 1.11.17
描述:
BUGTRAQ ID:
10955
CVE(CAN) ID:
CVE-2004-0778
Concurrent Versions System (CVS)是一款开放源代码的版本控制软件。
CVS存在未文档化命令参数开关标记,远程攻击者可以利用这个漏洞获得敏感信息。
问题存在于src/history.c文件中的'history'命令的未公开开关,-X命令选项指定历史文件名,允许攻击者判断任意系统文件或目录是否存在,或者CVS进程是否能访问它们。可导致敏感信息泄露。
<*来源:iDEFENSE Security Advisory (
labs@idefense.com)
链接:
http://www.idefense.com/application/poi/display?id=130&type=vulnerabilities&flashstatus=false
*>
建议:
厂商补丁:
CVS
---
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载CVS 1.11.17 & 1.12.9版本:
http://www.cvshome.org/浏览次数:3285
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载 绿盟科技给您安全的保障 |