1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
|
#use wml::debian::translation-check translation="55a70d0c0f3df8d4df237334ac6de72daaa99f73"
<define-tag description>удалённая уязвимость</define-tag>
<define-tag moreinfo>
<p>Система управления учётными записями сервера pserver CVS (используемого
для удалённого доступа к репозиториям CVS) использует файл
<kbd>CVSROOT/passwd</kbd> репозитория, содержащий учётные записи и
информацию для авторизации, а также имя локальной учётной записи unix,
задействуемой при использовании учётной записи pserver. Поскольку CVS
не производит проверку того, какая учётная запись unix задана, любой,
кто может изменять содержимое файла <kbd>CVSROOT/passwd</kbd>, может
получить доступ ко всем локальным пользователям сервера CVS, включая
пользователя root.</p>
<p>Это исправлено автором в версии 1.11.11 путём запрета запуска pserver
от имени пользователя root. В Debian проблема решена в версии
1.11.1p1debian-9 двумя различными способами:</p>
<ul>
<li>pserver больше не может использовать учётную запись root для доступа
к репозиториями</li>
<li>создан новый файл <kbd>/etc/cvs-repouid</kbd>, который может
использоваться системным администратором для изменения учётной записи
unix, используемой для доступа к репозиторию. Более подробную информацию
об этом новшестве можно найти по адресу
<url "http://www.wiggy.net/code/cvs-repouid/"></li>
</ul>
<p>Кроме того, сервер pserver CVS содержит ошибку в коде разбора запросов
модулей, которая может быть использована для создания файлов и каталогов
за пределами репозитория. Это исправлено авторами исходного кода в
версии 1.11.11, а в пакете Debian — в версии 1.11.1p1debian-9.</p>
<p>Наконец, изменена маска umask, используемая при выполнении команд
“cvs init” и “cvs-makerepos”. Теперь запрещено
создание репозиториев с правами записи группы.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2004/dsa-422.data"
|
