English

◀◁ 뒤로 취약점ID 23090 위험도 30 포트 3690 프로토콜 TCP 분류 Subversion 상세설명 해당 Subversion의 버전 정보에 따르면 서버에는 mod_authz_svn 모듈을 통한 정보 노출 취약점이 존재한다. Subversion 1.0.8 그리고 1.1.0-rc4 미만의 버전들은 원격지의 공격자가 mod_authz_svn 모듈에 있는 결함으로 인해 여러 가지 정보를 얻어낼 수 있게 해 준다. mod_authz_svn 모듈은 읽지 못하는 경로들에 있는 메타데이터(metadata)에 대한 접근을 적절하게 제한하지 않는다. 관리자가 '읽지 못함'으로 경로를 표시해 놓더라도 원격지의 공격자는 여전히 읽지 못하는 경로의 존재를 알아 내고 어떤 연관된 수행결과 로그(Commit log) 메시지들을 볼 수 있는 어떤 명령들을 내릴 수 있다. 그 명령들에는 'svn log -v', 'svn propget', 그리고 'svn blame'가 있다. 1.1-rc2 그리고 1.1-rc3 버전들에서 원격지의 공격자는 또한 읽지 못하는 임의의 파일을 네트워크를 통해 보내질 수 있도록 해 주는 'svn blame' 명령을 내릴 수 있다. 이는 심지어 클라이언트 상에 그 정보가 보여지지 않을 때 조차도 가능하다. * 알림: 이 점검항목은 이 취약점을 점검하기 위해 해당 Subversion 서버의 버전 정보만을 확인한다. 따라서 거짓 양성반응(False Positive)을 보일 수 있다. * 참고 사이트: http://www.securitytracker.com/alerts/2004/Sep/1011390.html http://secunia.com/advisories/12621/ * 영향을 받는 플랫폼: Tigris.org, Subversion 1.0.8 이전 버전들 Tigris.org, Subversion 1.1.0-rc1 Tigris.org, Subversion 1.1.0-rc2 Tigris.org, Subversion 1.1.0-rc3 Linux Any version Unix Any version 해결책 다음 Subversion 웹 사이트에서 구할 수 있는 Subversion의 가장 최신 버전(1.0.8 혹은 1.1.0-rc4 혹은 이후)으로 업그레이드 하여야 한다: http://subversion.tigris.org/servlets/ProjectDocumentList?folderID=260 Gentoo Linux의 경우: 다음 Gentoo Linux Security Advisory GLSA 200409-35를 참조하여 Subversion의 가장 최신 버전(1.0.8 혹은 이후)으로 업그레이드 하여야 한다: http://www.gentoo.org/security/en/glsa/glsa-200409-35.xml 기타: 해당 제조사에 문의하여 업그레이드 혹은 패치 정보에 대해 알아본다. 관련 URL CVE-2004-0749 (CVE) 관련 URL 11243 (SecurityFocus) 관련 URL 17472 (ISS)