Amazon Linux AMI:subversion (ALAS-2014-318)

medium Nessus 插件 ID 73237

简介

远程 Amazon Linux AMI 主机缺少安全更新。

描述

在 mod_dav_svn 模块处理 OPTIONS 请求的方式中发现缺陷。可读取通过 HTTP 提供的 SVN 存储库的远程攻击者,可利用此缺陷导致处理此类请求的 httpd 进程崩溃。

在低于 1.7.15 的 Apache Subversion 以及低于 1.8.6 的 Apache Subversion 1.8.x 中,mod_dav_svn 模块的 repos.c 中的 get_resource 函数在 SVNListParentPath 已启用时,允许远程攻击者通过与服务器根和请求方法(而不是 GET)有关的矢量造成拒绝服务(崩溃),这一点已由“svn ls http://svn.example.com”命令证实。

解决方案

运行“yum update subversion”以更新系统。

另见

https://alas.aws.amazon.com/ALAS-2014-318.html

插件详情

严重性: Medium

ID: 73237

文件名: ala_ALAS-2014-318.nasl

版本: 1.5

类型: local

代理: unix

发布时间: 2014/3/28

最近更新时间: 2018/4/18

支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

风险信息

VPR

风险因素: Low

分数: 3.6

CVSS v2

风险因素: Medium

基本分数: 4.3

矢量: CVSS2#AV:N/AC:M/Au:N/C:N/I:N/A:P

漏洞信息

CPE: p-cpe:/a:amazon:linux:mod_dav_svn, p-cpe:/a:amazon:linux:subversion, p-cpe:/a:amazon:linux:subversion-debuginfo, p-cpe:/a:amazon:linux:subversion-devel, p-cpe:/a:amazon:linux:subversion-javahl, p-cpe:/a:amazon:linux:subversion-libs, p-cpe:/a:amazon:linux:subversion-perl, p-cpe:/a:amazon:linux:subversion-python, p-cpe:/a:amazon:linux:subversion-ruby, p-cpe:/a:amazon:linux:subversion-tools, cpe:/o:amazon:linux

必需的 KB 项: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list

补丁发布日期: 2014/3/25

参考资料信息

CVE: CVE-2014-0032

ALAS: 2014-318