Fedora 18：subversion-1.7.11-1.fc18.1 (2013-13672)

high Nessus 插件 ID 69355

语言：

简介

远程 Fedora 主机缺少安全更新。

描述

该更新包括 Apache Subversion 1.7 的最新版本，即版本 1.7.11。此更新中修复了多个安全漏洞：

Subversion 的 mod_dav_svn Apache HTTPD 服务器模块将触发针对修订根的某些请求的断言。这可导致 DoS。如果禁用断言，将触发读取溢出，可能导致分段错误或未定义的行为。必须具有提交访问权限才能利用此漏洞。(CVE-2013-4131)

如果包含换行符 (ASCII 0x0a) 的文件名专用于使用 FSFS 格式的存储库，产生的修订会受损。这可导致中断存储库用户。(CVE-2013-1968)

Subversion 的 contrib/ 目录包含两个示例挂钩脚本，这些脚本使用“svnlook changed“检查修订或事务，然后在未正确转义命令行的情况下将这些路径作为参数传递给其他“svnlook”命令。(CVE-2013-2088)

当传入的 TCP 连接在连接过程中提前关闭时，Subversion 的 svnserve 服务器进程可能退出。这可导致中断服务器用户。(CVE-2013-2112)

1.7.10 版本中修复了以下客户端缺陷：

- 修复“svn revert”“no such table: revert_list”虚假错误

- 修复“svn diff”不显示某些本地添加的文件

- 修复 --changelist 值不是 UTF8 时的变更列表过滤

- 修复“svn diff --git”显示错误 copyfrom

- 修复“svn diff -x-w”显示错误变更

- 修复“svn blame”有时将每行显示为已修改

- 修复外部项的“svn status -u”输出的回归

- 修复提交含关键字的文件时的文件权限变更

- 改进了某些致命错误消息

- 修复将工作副本设置为卷影时不删除外部项

修复了以下服务器端缺陷：

- 修复文件名中换行导致的存储库损坏

- 修复客户端连接中止时 svnserve 退出

- 修复 svnserve 内存清除后使用

请注意，Tenable Network Security 已直接从 Fedora 安全公告中提取上述描述块。Tenable 已尝试在不引入其他问题的情况下尽可能进行了自动整理和排版。