Scientific Linux 安全更新：SL6.x i386/x86_64 中的 subversion

medium Nessus 插件 ID 60955

语言：

简介

远程 Scientific Linux 主机缺少一个或多个安全更新。

描述

在 mod_dav_svn 模块中发现了一个访问限制绕过缺陷。
如果将 SVNPathAuthz 指令设置为“short_circuit”，将不实施某些访问规则，因此可能将敏感的存储库数据泄露给远程用户。请注意，SVNPathAuthz 默认设置为“On”。(CVE-2010-3315)

在 Subversion 服务器中发现了服务器端内存泄漏。如果远程恶意用户对特定存储库文件执行“svn blame”或“svn log”操作，可能导致 Subversion 服务器使用大量系统内存。(CVE-2010-4644)

在 mod_dav_svn 模块处理特定请求的方式中发现一个空指针取消引用缺陷。如果远程恶意用户发出特定类型的请求以在启用了 SVNListParentPath 指令的主机上显示 Subversion 存储库集合，可能导致处理此请求的 httpd 进程崩溃。请注意，默认不启用 SVNListParentPath。
(CVE-2010-4539)

安装更新后的程序包后，必须重新启动 Subversion 服务器才能使更新生效：如果使用 mod_dav_svn，则重新启动 httpd；如果使用 svnserve，则将其重新启动。