Udviklere igen sikre med opdatering af Subversion

Versionsstyringssystemet Subversion indeholder til og med version 1.6.3 en række kritiske huller, som kan give hackere mulighed for at afvikle ondsindet kode på klient- og serversiden.

Alvorlige sikkerhedshuller i versionsstyringssystemet Subversion er nu blevet lukket.

Open source-systemet Subversion bruges til at holde styr på versioner af for eksempel kildekode eller dokumentation under et projekt ved at have nyeste og tidligere udgaver af filerne liggende på en server, som udviklere kan hente opdateringer fra og føje ændringer fra klientsiden.

Subversion benyttes af flere open source-projekter, blandt andet FreeBSD, Python og PHP.

Sårbarhederne i Subversion gør det muligt for en hacker at opnå kontrol med både klienten og serveren og omfatter versioner af Subversion til og med 1.6.3. Problemet skyldes flere heap overflows i biblioteket libsvn_delta, som kan opstå under parsing af de datafiler, som indeholder informationer om forskelle i filversioner.

I praksis kan hullerne give en bruger med commit-adgang ? tilladelse til at uploade ændringer til filerne på serveren - mulighed for at afvikle ondsindet kode på serveren. Samtidig vil det være muligt for en ondsindet server at afvikle kode på en klient, som opdaterer eller foretager et check-out af koden, eller hvad man nu har liggende af filer på serveren.

Subversion-versioner op til og med 1.5.6 og fra 1.6.0 til 1.6.3, begge inklusive, er sårbare. Virksomheden bag Subversion, Collabnet, anbefaler derfor alle brugere at opdatere til version 1.6.4.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (4)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#3 Philip Grove

Jo, Debian backpatch'er eksisterende pakker når der er sikkerhedsmæssige grunde. Det er de versioner der er nævnt i den besked du linker til der ligger i pakke repositoriet.

Pakkerne er dog stadig relativt langt bagud i version og har et Debian specifikt versionsnummer lagt oveni. Dette kan nemt forvirre folk der ikke er vant til Debians noget specielle versionsnummerering.

  • 0
  • 0
#4 Mads N. Vestergaard

Ja, man ved jo som Debian bruger at ens Stable, altid vil få sikkerhedsopdateringerne rullet ind, men det er jo Debians politik at du ikke får nye Versioner ind, så før der kommer nu stable vil det altid være 1.5.1 + sikkerheds patches der er at finde i stable.

  • 0
  • 0
Log ind eller Opret konto for at kommentere