Kim Nielsen entdeckte kürzlich ein internes Problem im CVS-Server und meldete ihn auf der Mailingliste vuln-dev. Das Problem wird von einer ungenau initialisierten globalen Variablen ausgelöst. Ein Benutzer, der dies ausnutzt, kann den CVS-Server abstürzen lassen, der über den pserver-Service erreicht werden kann und unter einer entfernten Benutzer-Kennung läuft. Es ist jedoch noch nicht klar, ob die entfernte Kennung herausgefunden werden kann.
Dieses Problem wurde mit der Hilfe von Niels Heinen in Version 1.10.7-9 für die stable-Debian-Distribution behoben und in neueren Versionen als 1.11.1p1debian-3 für die testing- und unstable-Distribution von Debian (jedoch noch nicht hochgeladen).
Wir empfehlen, dass Sie Ihr CVS-Paket aktualisieren.
MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.