安科网

Subversion mod_dav_svn断言失败拒绝服务/读溢出漏洞(CVE-2013-

终极程序

终极程序

2013-07-26

关注 关注

发布日期:2013-07-22
更新日期:2013-07-26

受影响系统:
Subversion Subversion HTTPD servers 1.8.0
Subversion Subversion HTTPD servers 1.7.0 - 1.7.10
描述:
--------------------------------------------------------------------------------
CVE(CAN) ID: CVE-2013-4131

Subversion是一款开源多用户版本控制系统,支持非ASCII文本和二进制数据。

Subversion的mod_dav_svn Apache HTTPD服务器模块对源代码根目录执行某些请求时(例如DELETE HTTP、MOVE HTTP、COPY HTTP)会触发断言,造成拒绝服务。如果断言被禁用,则会触发读溢出,造成段错误或其他不明影响。

<*来源:Daniel Shahaf
 
  链接:http://subversion.apache.org/security/CVE-2013-4131-advisory.txt
*>

建议:
--------------------------------------------------------------------------------
临时解决方法:

Patches:
========

Patch for Subversion 1.7.x and 1.8.0:
[[[
Index: subversion/mod_dav_svn/repos.c
===================================================================
--- subversion/mod_dav_svn/repos.c    (revision 1503527)
+++ subversion/mod_dav_svn/repos.c    (revision 1503528)
@@ -2408,21 +2408,12 @@
                svn_boolean_t is_urlpath,
                apr_pool_t *pool)
{
-  apr_size_t len;
-  char *tmp = apr_pstrdup(pool, path);
-
-  len = strlen(tmp);
-
-  if (len > 0)
+  if (*path != '\0') /* not an empty string */
    {
-      /* Remove any trailing slash; else svn_path_dirname() asserts. */
-      if (tmp[len-1] == '/')
-        tmp[len-1] = '\0';
-
      if (is_urlpath)
-        return svn_urlpath__dirname(tmp, pool);
+        return svn_urlpath__dirname(path, pool);
      else
-        return svn_fspath__dirname(tmp, pool);
+        return svn_fspath__dirname(path, pool);
    }

  return path;
@@ -2458,7 +2449,9 @@
      parent->versioned = 1;
      parent->hooks = resource->hooks;
      parent->pool = resource->pool;
-      parent->uri = get_parent_path(resource->uri, TRUE, resource->pool);
+      parent->uri = get_parent_path(svn_urlpath__canonicalize(resource->uri,
+                                                              resource->pool),
+                                    TRUE, resource->pool);
      parent->info = parentinfo;

      parentinfo->uri_path =
]]]

厂商补丁:

Subversion
----------
Subversion已经为此发布了一个安全公告(CVE-2013-4131-advisory)以及相应补丁:
CVE-2013-4131-advisory:CVE-2013-4131-advisory
链接:http://subversion.apache.org/security/CVE-2013-4131-advisory.txt

补丁下载:http://subversion.apache.org/packages.html

subversion 版本控制系统 tmp svn

终极程序

终极程序

0 关注 0 粉丝 0 动态

关注 关注

相关推荐

linux安装subversion

我们这里在/home下建立一个名为svn的仓库,以后所有代码都放在这个下面,创建成功后在svn下面多了几个文件夹。接下来我们依次修改这3个文件。上面配置的含义是,liuxianan对/home/svn/下所有文件具有可读可写权限,test只有只读权限,除此

起点 2020-05-05

Linux服务器安装SVN的步骤

在执行configure命令的时候需要注意将openssl指向刚刚安装的openssl安装目录,否则还是会报错。

ganyouxianjava 2015-02-05

在Linux平台下用subversion

  一直对自己的一些资料、学习笔记保存的比较乱,久了就不知道放到什么地方去了。于是想起平时用的subversion,呵呵,怎么不自己整一个资料的管理服务器。最近用Linux用的比较多,就装在Fedora6上。  根据subversion的要求,好像apac

catchupwith 2008-05-03

Linux系统下架设APACHE+SVN服务器全过程

- -enable-modules=so /* DSO模式安装apache . 用浏览器查看http://localhost/,得到it works,说明apache已经配置成功了。#tar –zvxf subversion-deps-1.4.5.tar.

ISEESTARS 2008-03-15

在RedHat AS下安装配置SVN管理工具

subversion是近年来崛起的版本管理工具,是CVS的接班人。SVN服务器有2种运行方式:独立服务器和借助apache。SVN存储版本数据也有2种方式:BDB和FSFS。因为BDB方式在服务器中断时,有可能锁住数据,所以还是FSFS方式更安全一点。将s

wwwwwwwwwwwwdi 2008-02-16

Linux操作系统下配置subversion跟我来

1.准备工作在CentOS5或Fedora 8版本,httpd和subversion默认安装,通过web访问svn还需要apache的mod_dav_svn、mod_authz_svn模块,如果没加载重新安装;

ouhzrM 2008-01-20

Linux(RH9)下安装apache与subversion攻略

Linux下安装apache和subversion 方法A唐哥刚刚配成功 ,我参考一些网上的文章和实战经验,写了一个总结。

datouniao 2007-09-04

Ubuntu Server 10.10下安装配置SVN

重启apache2第二步:创建SVN库和项目sudo mkdir /home/svn //创建SVN库sudo svnadmin create /home/svn/project //创建项目第三步:创建组并添加成员sudo addgroup subver

zhaohuan 2011-08-06

Debian下安装Subversion版本管理工具

更改版本库的所有者,否则,不能读取。chown -R www-data:www-data /var/svn_repos/codes/test六、进入/var/svn_repos/codes/目录下,编辑svnaccess.authz文件,该文件为权限访问控

renkai 2011-07-18

CentOS下部署SVN服务器笔记(更新)

使用下面命令将 python 添加到 /usr/bin 中,并且区别其他版本的 python 执行文件,使它们可以共存。在以上编译过程中可能会出现 configure: error: Subversion requires SQLite. 同时执行了上面的

Gsdxiaohei 2011-05-06

VPS上搭建Subversion服务器手记

Subversion是有名的版本控制软件,尤其适合多人在不同的地方,通过Internet,进行软件源码的控制与管理。最近我打算和同事协同开发一些东西,所以决定充分挖掘俺们的Linode VPS的有利资源,把SVN的服务端给装到VPS上。这样,我们就能通过S

半路出家的justow 2011-02-26

Fedora 13 SVN 服务器搭建

4. 编写shell脚本,设置可执行属性,放在/bin/make-repos,运行建立SVN 项目,如make-repos svn_prj

85261748 2010-09-12

Ubuntu 10.04 安装SVN服务器

[ $# -eq 1 ]; then echo "Usage: $ USERNAME" echo "Example: $ paul" echo exit 1fi

sanmu 2010-07-25

Centos下Subversion 服务器安装配置

[repos:/] 表示对版本库repos设置权限[repos2:/abc] 表示对版本库repos2中的abc项目设置权限[repos2:/abc/aaa] 表示对版本库repos2中的abc项目的aaa目录设置权限。权限可以是w、r、wr和空,空表示没

85530494 2010-05-03

在Ubuntu上安装配置Subversion + Aapache + SSL以及权限设置

1,首先需要安装所需要的软件,在Unbuntu上输入以下命令完成Subversion,Apache2以及连接驱动模块的安装。4,在apache中新建一个虚拟主机,用于通过web来访问svn档案库中的内容。复制一个现有的apache虚拟主机配置文件,然后对其

我是Mark 2009-10-02

Ubuntu上搭建SVN服务器全攻略

附录A:远程修改SVN用户口令工具使用方法... 14附录B:Ubuntu 8.10修改IP地址... 15附录C:Ubuntu下配置SSH服务... 15. 本文详细描述了Ubuntu环境下,SVN+Apache+SSL架构的SVN服务器的搭建过程。通过

半路出家的justow 2009-07-04

Subversion For Linux的安装(SVN+Apache+Linux)

8、建立本地项目控制文件touch /data/svn/auth我的文件内容为:[groups][hms.rd.ikang.com:/]#wxy = rwchen.shanshan = rwnuo = rwjonathan.sun = rw[php.ika

lyonte 2009-05-01

Subversion Windows迁移到Linux服务器的步骤

首先在Windows上,使用svnadmin dump resp_path >dumpfile将一个仓库导出成一个文件,这时候可以看到一个版本一个版本的导出过程。然后把这个dumpfile复制到Linux的机器上,使用svnadmin load re

xianhe0 2009-02-21

Linux下配置subversion使其支持svn+ssh方式访问

no-port-forwarding,no-agent-forwarding,no-X11-forwarding,no-pty. command="svnserve -t --tunnel-user=xxxx",no-port-forw

guowang0 2008-11-13

CentOS上安装Subversion

用了很久的Debian和Ubuntu,对这两个Linux Distribution的使用已经有些心得,觉得也是时候换换口味,学习一下CentOS,一个类似REHL的免费系统。现在很多的Virtual Host和Dedicate Server都安装这个系统,

zhengyshan 2008-10-06
终极程序

终极程序

W3CSchool教程
HTML 教程
CSS 教程
Bootstrap 教程
Javascript 教程
jQuery 教程
后端教程
C 教程
Java 教程
PHP 教程
Python 教程
Go 教程
移动开发
Android 教程
Swift 教程
Kotlin 教程
jQuery Mobile 教程
ionic 教程
关于我们
新闻动态
联系方式
招聘英才
安科实验室
帮助与反馈

安科网(Ancii),中国第一极客网

Copyright © 2013 - 2019 Ancii.com

京ICP备18063983号 京公网安备11010802014868号