Sicherheitslücken in CVS, Subversion und libneon

Angreifer können durch Fehler beliebigen Code ausführen

Der Sicherheitsexperte Stefan Esser weist auf zum Teil kritische Sicherheitslücken im Concurrent Versions System (CVS), Subversion und der Bibliothek libneon hin. Durch diese ist es Angreifern mitunter möglich, beliebigen Code auszuführen.

Artikel veröffentlicht am ,

Die Sicherheitslücke in CVS soll in stabilen Versionen bis einschließlich 1.11.15 und in Feature-Releases bis einschließlich 1.12.7 enthalten sein und es Angreifern erlauben, beliebigen Code auszuführen und so auch die Code-Repositories zu verändern. Nutzern von CVS wird daher ein Update auf eine aktuelle Version empfohlen.

Stellenmarkt
  1. Test Automatisierer (m/w/d) IT
    M-net Telekommunikations GmbH, München
  2. IT-Professional/IT-Administr- ator (m/w/d)
    PETER BREHM GmbH, Weisendorf / Metropolregion Nürnberg
Detailsuche

Auch im möglichen CVS-Nachfolger Subversion bis einschließlich Version 1.0.2 entdeckte Esser eine Sicherheitslücke, die das Ausführen von beliebigem Code erlaubt. Schuld ist hier ein unsicherer Aufruf innerhalb der Datumsprüfung von Subversion. Da es sehr einfach sei, die entsprechende Sicherheitslücke auszunutzen, rät Esser dringend zu einem Update auf eine aktuelle Version.

In der Bibliothek libneon fand Esser einen ähnlichen Fehler. Die Bibliothek wird vor allem von OpenOffice und Subversion verwendet, die beide aber die fehlerhafte Funktion nicht nutzen und daher nicht verwundbar sind. Dennoch sollte die Bibliothek aktualisiert werden, da möglicherweise andere Anwendungen diese Funktion trotzdem verwenden könnten und damit verwundbar wären.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Netzwerk-IT-Profi 19. Mai 2004

Genau! Die Sicherheitslücke ist bei den IT-Profis schon länger bekannt - sie sollte...

Herb 19. Mai 2004

Wer sagt, dass Golem die Info zuerst hatte?

seaxx 19. Mai 2004

Jaja, und die Sicherheitslücken bei Linux sind ja soooooo viel länger offen, als die bei...

_Uzul_ 19. Mai 2004

so lob ich mir das. meldung von 10:09Uhr (golem) und fix von 11:12Uhr :)



Aktuell auf der Startseite von Golem.de
New World im Test
Amazon liefert ordentlich Abenteuer

Konkurrenz für World of Warcraft und Final Fantasy 14: Amazon Games macht mit dem PC-MMORPG New World momentan vor allem Sammler glücklich.
Von Peter Steinlechner

New World im Test: Amazon liefert ordentlich Abenteuer
Artikel
  1. Nasa: Sonde Lucy erfolgreich zu Jupiter-Asteroiden gestartet
    Nasa
    Sonde Lucy erfolgreich zu Jupiter-Asteroiden gestartet

    Erstmals sollen Asteroiden in der Umlaufbahn des Jupiter untersucht werden. Der Start der Raumsonde Lucy ist laut Nasa geglückt.

  2. Pornoplattform: Journalisten wollen Xhamster-Eigentümer gefunden haben
    Pornoplattform
    Journalisten wollen Xhamster-Eigentümer gefunden haben

    Xhamster ist und bleibt Heimat für zahlreiche rechtswidrige Inhalte. Doch ohne zu wissen, wer profitiert, wusste man bisher auch nicht, wer verantwortlich ist.

  3. Whatsapp: Vater bekommt wegen eines Nacktfotos Ärger mit Polizei
    Whatsapp
    Vater bekommt wegen eines Nacktfotos Ärger mit Polizei

    Ein Vater nutzte ein 15 Jahre altes Nacktfoto seines Sohnes als Statusfoto bei Whatsapp. Nun läuft ein Kinderpornografie-Verfahren.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Cyber Week: Bis zu 40€ Rabatt auf Samsung-SSDs • ADATA XPG Spectrix D55 16-GB-Kit 3200 56,61€ • Crucial P5 Plus 1 TB 129,99€ • Kingston NV1 500 GB 35,99€ • Creative Sound BlasterX G5 89,99€ • Alternate (u. a. AKRacing Core SX 248,99€) • Gamesplanet Anniv. Sale Classic & Retro [Werbung]
    •  /