FreeBSD:subversion -- 多个漏洞 (83a418cc-2182-11e4-802c-20cf30e32f6d)

medium Nessus 插件 ID 77125

语言:

简介

远程 FreeBSD 主机缺少一个或多个与安全有关的更新。

描述

Subversion 项目报告:

如果对 HTTPS 使用 Subversion 的 Serf RA 层,则使用 apr_fnmatch API 处理证书的公用名和主题备用名中的匹配通配符。但是,apr_fnmatch 不是为此目的设计的。而是设计为行为类似普通的 shell 通配。
特别是,这意味着“*”不限制为主机名内的单个标签(如匹配“.”)。但是即使进一步,apr_fnmatch 也支持“?”和字符串类(两者都不是用于定义证书验证如何工作的 RFC 的一部分)。

Subversion 存储由基于为其缓存的凭据的服务器的 URL 和认证领域的 MD5 哈希缓存的凭据。已显示 MD5 容易受到所选明文哈希冲突的影响。这意味着可能可以生成可为不同 URL 生成同一个 MD5 哈希的认证领域。

解决方案

更新受影响的数据包。

另见

http://subversion.apache.org/security/CVE-2014-3522-advisory.txt

http://subversion.apache.org/security/CVE-2014-3528-advisory.txt

http://www.nessus.org/u?aa0a664a

插件详情

严重性: Medium

ID: 77125

文件名: freebsd_pkg_83a418cc218211e4802c20cf30e32f6d.nasl

版本: 1.6

类型: local

发布时间: 2014/8/12

最近更新时间: 2021/1/6

风险信息

VPR

风险因素: Medium

分数: 4.7

CVSS v2

风险因素: Medium

基本分数: 4

矢量: CVSS2#AV:N/AC:H/Au:N/C:P/I:P/A:N

漏洞信息

CPE: p-cpe:/a:freebsd:freebsd:subversion, p-cpe:/a:freebsd:freebsd:subversion16, p-cpe:/a:freebsd:freebsd:subversion17, cpe:/o:freebsd:freebsd

必需的 KB 项: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info

补丁发布日期: 2014/8/11

漏洞发布日期: 2014/8/6

参考资料信息

CVE: CVE-2014-3522, CVE-2014-3528