RNP > Serviços > Segurança em redes > Alertas do CAIS

Vulnerabilidade no CVS

USCERT-AL-TA04-147A

[CAIS, 27.05.2004-13:22, revisão 01]

O CAIS está repassando o alerta do US-CERT, intitulado "TA04-147A - CVS Heap Overflow Vulnerability", que trata de uma vulnerabilidade que afeta o CVS (Concurrent Versions System), um sistema de gerenciamento de código-fonte amplamente utilizado em projetos Open Source.

Esta vulnerabilidade permite que um atacante remoto execute código arbitrário, comandos, modifique informações sensíveis ou mesmo cause uma condição de Negação de Serviço (DoS) no sistema vulnerável.

Sistemas afetados:

• Stable CVS anteriores à versão 1.11.16
• CVS Feature anteriores à versão 1.12.8

Correções disponíveis:

Recomenda-se o upgrade ou aplicação de correção (patch) oferecida pelo seu fornecedor. Para obter uma lista de correções por fornecedor consulte:

• US-CERT Vulnerability Note VU#192038

Outras opções para se solucionar o problema são (1) desabilitar o servidor CVS ou (2) bloquear/restringir acesso seguindo as orientações do alerta original do US-CERT.

Mais informações:

• TA04-147A - CVS Heap Overflow Vulnerability (US-CERT)

• Advisory 07/2004 - CVS remote vulnerability (e-matters Security)

• Chrooted SSH CVS server HOW-TO (IDEALX)

Identificador CVE: CAN-2004-0396

O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as ultimas versões e correções disponibilizadas pelos fabricantes.

Contato com o Cais:

+55 (19) 3787-3300
+55 (19) 3787-3301

cais@cais.rnp.br

Chave PGP pública do Cais