低危 CVS客户端RCS Diff客户端文件覆盖漏洞

CVE编号

CVE-2004-0180

利用情况

暂无

补丁情况

官方补丁

披露时间

2004-06-01
漏洞描述
 
Concurrent Versions System (CVS)是一款开放源代码的版本控制软件。 CVS客户端在处理路径名时缺少充分处理。1.11之前的CVS客户端允许远程恶意CVS服务器使用某些RCS diff文件创建任意文件,这些文件在检出或更新期间使用绝对路径名,此漏洞不同于CVE-2004-0405。

解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接
ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-04:07.cvs.asc
ftp://ftp.openbsd.org/pub/OpenBSD/patches/3.5/common/002_cvs.patch
ftp://patches.sgi.com/support/free/security/advisories/20040404-01-U.asc
http://marc.info/?l=bugtraq&m=108636445031613&w=2
http://secunia.com/advisories/11368
http://secunia.com/advisories/11371
http://secunia.com/advisories/11374
http://secunia.com/advisories/11375
http://secunia.com/advisories/11377
http://secunia.com/advisories/11380
http://secunia.com/advisories/11391
http://secunia.com/advisories/11400
http://secunia.com/advisories/11405
http://secunia.com/advisories/11548
http://security.gentoo.org/glsa/glsa-200404-13.xml
http://www.debian.org/security/2004/dsa-486
http://www.mandriva.com/security/advisories?name=MDKSA-2004:028
http://www.redhat.com/support/errata/RHSA-2004-153.html
http://www.redhat.com/support/errata/RHSA-2004-154.html
http://www.slackware.com/security/viewer.php?l=slackware-security&y=2004&m=sl...
https://exchange.xforce.ibmcloud.com/vulnerabilities/15864
https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.ova...
https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.ova...
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
应用 cvs cvs * Up to
(including)
1.10
运行在以下环境
系统 debian_10 cvs * Up to
(excluding)
1:1.12.5-4
运行在以下环境
系统 debian_11 cvs * Up to
(excluding)
1:1.12.5-4
运行在以下环境
系统 debian_12 cvs * Up to
(excluding)
1:1.12.5-4
运行在以下环境
系统 debian_3.0 cvs * Up to
(excluding)
1.11.1p1debian-9woody2
阿里云评分
2.3
  • 攻击路径
    本地
  • 攻击复杂度
    困难
  • 权限要求
    普通权限
  • 影响范围
    有限影响
  • EXP成熟度
    未验证
  • 补丁情况
    官方补丁
  • 数据保密性
    无影响
  • 数据完整性
    无影响
  • 服务器危害
    无影响
  • 全网数量
    -
CWE-ID 漏洞类型
NVD-CWE-Other
阿里云安全产品覆盖情况