Обновление Subversion 1.6.17 с устранением трех уязвимостей

02.06.2011 13:52

Объявлено о выходе новой версии централизованной системы контроля версий Subversion 1.6.17, в которой устранено три уязвимости:

Ошибка в Apache-модуле mod_dav_svn, обеспечивающем работу сервера Subversion, позволяет удаленному злоумышленнику получить доступ к содержимому файлов, чтение которых запрещено настройками ACL;
Возможность разыменования NULL-указателя через отправку специального запроса к Apache модулю mod_dav_svn. Существующий в сети эксплоит позволяет осуществить отказ в обслуживании, путем стимулирования постоянных крахов сервера Subversion;
Возможность проведения атаки против mod_dav_svn, результатом которой является зацикливание и исчерпание всей доступной управляющему процессу памяти.

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/30750-subversion

Ключевые слова: subversion

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (4)

1.3, Аноним (-), 19:23, 02/06/2011 [ответить]	+/–
А может кто знает как сделать доступ к svn по http, но не модулем апача?

2.5, samm (ok), 11:06, 03/06/2011 [^] [^^] [^^^] [ответить]	+/–
Никак, насколько мне известно. Оно очень плотно интегрировано с поддержкой вебдава в apache. А собственно говоря - зачем? Кстати, если это выделенный свн сервер- я рекомендую апачу в тредовом режиме собрать, будет значительно быстрее.

3.6, тигар (ok), 10:28, 06/06/2011 [^] [^^] [^^^] [ответить]	+/–
Ну, например, если на фронтенде уже стоит nginx, и апача совсем нигде нет:)

1.7, nikll (ok), 00:35, 08/06/2011 [ответить]	+/–
А накой именно хттп? у меня на сервере тоже апача нету, стоит nginx+php_fpm, свн работает через свой демон и свой протокол, видновый свн клиент прекрастно с сервером взаимодействует, отличий вообще не нашел. трак подключил через нгинкс как хттп бакенд, там тоже свой демон есть. в топку жирного апача :)

Добавить комментарий

Текст: