Apache ha publicado Subversion 1.8.13 destinada a solucionar
tres vulnerabilidades que podrían permitir provocar denegaciones de servicio o
falsificar contenido.
Subversion es un
sistema de control de versiones Open Source, que en la actualidad pertenece a
la Apache Software Foundation. Utiliza el concepto de revisión para guardar los
cambios producidos en el repositorio, además de proporcionar un entorno
eficiente y muy flexible.
Detalle de la actualizacion
- El primer problema está relacionado con el tratamiento de peticiones REPORT puede permitir a un atacante remoto consumir la memoria en servidores HTTP Subversion con repositorios FSFS (CVE-2015-0202).
- Una segunda vulnerabilidad de denegación de servicio remota reside en mod_dav_svn y svnserve al tratar determinadas peticiones con números de revisión dinámicamente evaluados (CVE-2015-0248).
- Por último, con CVE-2015-0251, una vulnerabilidad en servidores HTTP Subversion permiten falsificar los valores de svn:author en nuevas revisiones.
- Apache ha publicado la versión 1.8.13 que soluciona estos problemas, y otros fallos no relacionados con problemas de seguridad, disponible desde, http://subversion.apache.org/download/#recommended-release
- Más Información:
- Apache Subversion 1.8.13 released http://mail-archives.apache.org/mod_mbox/subversion-announce/201503.mbox/%3C20150331120220.GO17807%40jim.stsp.name%3E
- Subversion HTTP servers with FSFS repositories are vulnerable to a remotely triggerable excessive memory use with certain REPORT requests. http://subversion.apache.org/security/CVE-2015-0202-advisory.txt
- Subversion mod_dav_svn and svnserve are vulnerable to a remotely triggerable assertion DoS vulnerability for certain requests with dynamically evaluated revision numbers. http://subversion.apache.org/security/CVE-2015-0248-advisory.txt
- Subversion HTTP servers allow spoofing svn:author property values for new revisions. http://subversion.apache.org/security/CVE-2015-0251-advisory.txt