De Hispasec – Una al Día: Actualización de seguridad de Subversion (22/12/2015)

Saludos nuevamente.

Esta es otra noticia importante para los que usamos servidores de Subversion para control de versiones:

Actualización de seguridad de Subversion
martes, 22 de diciembre de 2015

Apache ha publicado Subversion 1.8.15 y 1.9.3 destinadas a solucionar una vulnerabilidad que podrían permitir provocar denegaciones de servicio o posiblemente llegar a ejecutar código arbitrario.

subversion_logo

Subversion es un sistema de control de versiones Open Source, que en la actualidad pertenece a la Apache Software Foundation. Utiliza el concepto de revisión para guardar los cambios producidos en el repositorio, además de proporcionar un entorno eficiente y muy flexible.

El problema, con CVE-2015-5343, reside en un desbordamiento de búfer basado en heap y una lectura fuera de límites provocada por un desbordamiento de entero al analizar cuerpos de peticiones skel-encoded. Esto podría permitir a atacantes con permisos de escritura en un repositorio provocar una denegación de servicio o posiblemente ejecutar código arbitrario bajo el contexto del proceso httpd. Los servidores con versiones 32-bits se ven afectados por ambos problemas, mientras que las versiones de servidor 64-bits solo son vulnerables a los ataques de denegación de servicio.

Apache ha publicado las versiones 1.8.15 y 1.9.3 que solucionan este problema, y otros fallos no relacionados con problemas de seguridad, disponibles desde:

http://subversion.apache.org/packages.html

 

Más Información:

[ANNOUNCE] Apache Subversion 1.8.15 released

http://mail-archives.apache.org/mod_mbox/subversion-announce/201512.mbox/%3CCAP_GPNieJGPDbf%3DnmbSdf%2BCTMZ%3D5pREoqwnDNvO80mfAKNaY7Q%40mail.gmail.com%3E

[ANNOUNCE] Apache Subversion 1.9.3 released

http://mail-archives.apache.org/mod_mbox/subversion-announce/201512.mbox/%3CCAP_GPNj_GCA869VQeJUrp5ngXsgN7pQQHSS%3DsqoXm8_6hHTTxg%40mail.gmail.com%3E

Remotely triggerable heap overflow and out-of-bounds read in mod_dav_svn caused by integer overflow when parsing skel-encoded request bodies.

http://subversion.apache.org/security/CVE-2015-5343-advisory.txt

Version 1.8.15

http://svn.apache.org/repos/asf/subversion/tags/1.8.15/CHANGES

Version 1.9.3

http://svn.apache.org/repos/asf/subversion/tags/1.9.3/CHANGES

 

Antonio Ropero

Twitter:@aropero

Acerca de Hector Suarez Planas

Es Licenciado en Ciencia de la Computación (3 de julio de 2002). Ha sido Administrador de Red en varias organizaciones, Programador y Analista de Sistemas. Actualmente se desempeña como Administrador de Red del Telecentro Tele Turquino de Santiago de Cuba. Tiene experiencia con sistemas Windows y GNU/Linux, Infraestructura de Redes (Cisco, AlliedTelesis, Netgear y HP ProCurve, Vyatta/VyOS), Servidores tanto físicos como virtuales (plataformas VMWare, Proxmox VE y Xen), Sistemas de Seguridad Informática (Snort/Suricata IDS, appliances AlienVault OSSIM), programador (Delphi, C++ Builder, Perl [poco], Python [algo]), entre otras cosas. Actualmente estoy incursionando en todo lo que tiene relación con Cloud Computing (OpenStack) y Centros de Datos. :-)
Esta entrada fue publicada en Actualizaciones, Subversion. Guarda el enlace permanente.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *