发布日期：2009-01-19
更新日期：2009-02-17

受影响系统：

CollabNet WebSVN 2.0
CollabNet WebSVN 1.7 beta

描述：

---

BUGTRAQ  ID: 33343
CVE(CAN) ID: CVE-2009-0240

WebSVN是用于在线查看源码库的工具。

WebSVN中的listing.php脚本在使用SVN authz文件时没有正确地限制对受限制代码库的访问，远程攻击者可以通过compare with previous和show changed files链接读取受限制项目的changelog或diff。

<*来源：Florian Weimer （Weimer@CERT.Uni-Stuttgart.DE）
  
  链接：http://secunia.com/advisories/32338/
        http://permalink.gmane.org/gmane.comp.security.oss.general/1390
        http://www.debian.org/security/2009/dsa-1725
*>

建议：

---

厂商补丁：

Debian
------
Debian已经为此发布了一个安全公告（DSA-1725-1）以及相应补丁:
DSA-1725-1：New websvn packages fix information leak
链接：http://www.debian.org/security/2009/dsa-1725

补丁下载：

Source archives:

http://security.debian.org/pool/updates/main/w/websvn/websvn_2.0-4+lenny1.diff.gz
Size/MD5 checksum:    21217 fec9c4c9173ac5da1e6866b6afdb37ff
http://security.debian.org/pool/updates/main/w/websvn/websvn_2.0-4+lenny1.dsc
Size/MD5 checksum:     1291 3b2910de66eb35b3650558c2a6b70d74
http://security.debian.org/pool/updates/main/w/websvn/websvn_2.0.orig.tar.gz
Size/MD5 checksum:   172005 047e02c0fa2948fdf98a3e348e3f1530

Architecture independent packages:

http://security.debian.org/pool/updates/main/w/websvn/websvn_2.0-4+lenny1_all.deb
Size/MD5 checksum:   194618 f03bd2f1bf00ee0666368a85faf1a9ef

补丁安装方法：

1. 手工安装补丁包：

  首先，使用下面的命令来下载补丁软件：
  # wget url  (url是补丁下载链接地址)

  然后，使用下面的命令来安装补丁：  
  # dpkg -i file.deb (file是相应的补丁名)

2. 使用apt-get自动安装补丁包：

   首先，使用下面的命令更新内部数据库：
   # apt-get update
  
   然后，使用下面的命令安装更新软件包：
   # apt-get upgrade

CollabNet
---------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://websvn.tigris.org/files/documents/1380/44451/websvn-2.1.0.tar.gz

浏览次数：2559
严重程度：0（网友投票）