The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Обновление Subversion 1.6.17 с устранением трех уязвимостей

02.06.2011 13:52

Объявлено о выходе новой версии централизованной системы контроля версий Subversion 1.6.17, в которой устранено три уязвимости:

  • Ошибка в Apache-модуле mod_dav_svn, обеспечивающем работу сервера Subversion, позволяет удаленному злоумышленнику получить доступ к содержимому файлов, чтение которых запрещено настройками ACL;
  • Возможность разыменования NULL-указателя через отправку специального запроса к Apache модулю mod_dav_svn. Существующий в сети эксплоит позволяет осуществить отказ в обслуживании, путем стимулирования постоянных крахов сервера Subversion;
  • Возможность проведения атаки против mod_dav_svn, результатом которой является зацикливание и исчерпание всей доступной управляющему процессу памяти.


  1. Главная ссылка к новости (http://svn.haxx.se/dev/archive...)
  2. OpenNews: Уязвимости в Asterisk, ClamAV, Subversion, Tor, Wireshark, Python CGIHTTPServer и OpenLDAP
  3. OpenNews: Уязвимости в Tor, Evince, Subversion, libpng, Mono, Wireshark, Gimp, DD-WRT, VLC и Libxml2
  4. OpenNews: Компания WANdisco намерена усовершенствовать Subversion
  5. OpenNews: Доступен релиз Subversion 1.6.15
  6. OpenNews: В сервисе GitHub появилась поддержка Subversion
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/30750-subversion
Ключевые слова: subversion
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (4) RSS
  • 1.3, Аноним (-), 19:23, 02/06/2011 [ответить]  
  • +/
    А может кто знает как сделать доступ к svn по http, но не модулем апача?
     
     
  • 2.5, samm (ok), 11:06, 03/06/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Никак, насколько мне известно. Оно очень плотно интегрировано с поддержкой вебдава в apache. А собственно говоря - зачем? Кстати, если это выделенный свн сервер- я рекомендую апачу в тредовом режиме собрать, будет значительно быстрее.
     
     
  • 3.6, тигар (ok), 10:28, 06/06/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Ну, например, если на фронтенде уже стоит nginx, и апача совсем нигде нет:)
     

  • 1.7, nikll (ok), 00:35, 08/06/2011 [ответить]  
  • +/
    А накой именно хттп? у меня на сервере тоже апача нету, стоит nginx+php_fpm, свн работает через свой демон и свой протокол, видновый свн клиент прекрастно с сервером взаимодействует, отличий вообще не нашел.
    трак подключил через нгинкс как хттп бакенд, там тоже свой демон есть.
    в топку жирного апача :)
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2022 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру