Debian DLA-3266-1：viewvc - LTS 安全更新

medium Nessus 插件 ID 169915

语言：

简介

远程 Debian 主机上缺少一个或多个与安全性相关的更新。

描述

远程 Debian 10 主机上安装的程序包受到 dla-3266 公告中提及的多个漏洞影响。

- ViewVC（CVS 和 Subversion 版本控制存储库的浏览器界面）是影响 1.2.2 和 1.1.29 之前版本的跨站脚本漏洞。攻击者需要具有由受信任的 ViewVC 实例暴露的 Subversion 存储库的提交权限，这能缓解此漏洞的影响。攻击向量涉及具有不安全名称的文件（这些名称在嵌入 HTML 流时会导致浏览器运行不需要的代码），创建这些文件本身就具有一定的挑战性。用户应至少更新到 1.2.2 版（若使用 ViewVC 1.2.x）或 1.1.29（若使用 1.1.x 版）。ViewVC 1.0.x 不再受支持，因此使用该版本的用户应实施变通方案。用户可以编辑其 ViewVC EZT 视图模板，以便在渲染期间手动对已更改的路径进行 HTML 转义。在模板集的 `revision.ezt` 文件中找到对这些已更改路径的引用，并将其封装为 `[format html]` 和 `[end]`。对于大多数用户而言，这意味着对`[changes.path]`的引用将变为`[format html][changes.path][end]`。（升级到经过修补的 ViewVC 版本后应恢复此变通方案，否则更改的路径名称将被双重转义。）(CVE-2023-22456)

- ViewVC 是用于 CVS 和 Subversion 版本控制存储库的浏览器界面。 1.2.3 和 1.1.30 之前的版本可能容易受到跨站脚本的攻击。攻击者需要具有由受信任的 ViewVC 实例暴露的 Subversion 存储库的提交权限，这能缓解此漏洞的影响。攻击向量涉及具有不安全名称的文件（这些名称在嵌入 HTML 流时会导致浏览器运行不需要的代码），创建这些文件本身就具有一定的挑战性。
用户应至少更新到 1.2.3 版（若使用 ViewVC 1.2.x）或 1.1.30（若使用 1.1.x 版）。ViewVC 1.0.x 不再受支持，因此使用该版本的用户应实施以下变通方案之一。用户可以编辑其 ViewVC EZT 视图模板，以便在渲染期间手动对已更改的路径 copyfrom 路径进行 HTML 转义。在模板集的 `revision.ezt` 文件中找到对这些已更改路径的引用，并将其封装为 `[format html]` 和 `[end]`。
对于大多数用户而言，这意味着对`[changes.copy_path]`的引用将变为`[format html][changes.copy_path][end]`。（升级到经过修补的 ViewVC 版本后应恢复此变通方案，否则 copyfrom 路径名称将被双重转义。）(CVE-2023-22464)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。