CVS halom túlcsordulásos sebezhetőség

CH azonosító

CH-9

Felfedezés dátuma

2004.05.05.

Súlyosság

Magas

Érintett rendszerek

CVS Team
Concurrent Versions System (CVS)

Érintett verziók

CVS Team Concurrent Versions System (CVS) 1.11.0 - 1.11.15, 1.12.0 - 1.12.7

Összefoglaló

A Concurrent Versions System (CVS) halom túlcsordulásos sebezhetősége miatt kártékony kód futtatható le a rendszeren.

Leírás

A CVS egy forráskód karbantartó rendszer. A sebezhetőség a bemeneti sorok jelzőkkel (megváltozott, ill. változatlan) való ellátásakor léphet fel. Nincs megfelelően ellenőrizve, hogy a jelzés egy adott sorra be lett-e már állítva. Ezt kihasználva egy sebezhető függvény többszörös meghívásával és különleges karakterek beillesztésével, puffer túlcsordulás okozható, aminek hatására egy távoli támadó több memória blokk tartalmát is átírhatja.

Egy rosszindulatú felhasználó a sebezhetőséget kihasználva tetszőleges kódot futtathat a a CVS server folyamat jogosultságával, parancsokat futtathat, érzékeny információkat módosíthat, vagy szolgáltatás megtagadást okozhat.

Egyes rendszereken a CVS server folyamatot az Internet services daemon (inetd) indítja el és root jogosultsággal futhat.

Megoldás

Frissítsen a legújabb verzióra

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-6463 – Wordpress sérülékenység
CVE-2024-51978 – Brother sérülékenység
CVE-2025-6554 – Google Chromium V8 sérülékenysége
CVE-2025-6543 – Citrix NetScaler sérülékenysége
CVE-2014-4078 – Microsoft Exchange szerver sérülékenység
CVE-2025-6170 – Red Hat sebezhetősége
CVE-2025-6021 – Red Hat sebezhetősége
CVE-2025-49796 – Red Hat sebezhetősége
CVE-2025-5777 – Citrix NetScaler sebezhetősége
Tovább a sérülékenységekhez »