公開日:2004.05.26 8:18 最終更新日:2004.06.08 00:30

TRTA04-147A
CVS サーバに含まれるヒープバッファオーバーフローの脆弱性

概要


CVS サーバにはヒープバッファが溢れてしまう脆弱性があります。

影響を受けるシステム
 - バージョン 1.11.15 およびそれ以前の 1.11.x
 - バージョン 1.12.7 およびそれ以前の 1.12.x

時系列イベント


日時 (JST)内容
2004-05-02 VU#192038 の脆弱性をベンダに通知する (by e-matters)
2004-05-19 Coordinated Public Disclosure (by e-matters)
2004-05-19 15:38e-matters Advisory 07/2004: CVS remote vulnerability を Full-Disclosure に投稿
#Post-Date: Wed, 19 May 2004 08:38:08 +0200
2004-05 cvshome.org が何者かに侵害される
#Reference: CVS Exploit Leads to Project Server Compromise
2004-05-22 03:18 Full-Disclosure に "CVS Entry Line Overflow EXPLOIT ... (VU#192038 を攻略)" が投稿される
#Cid: 05212004.CVS_Solaris.c
#Cid: cvs_solaris_HEAP.c
#Cid: 05212004.CVS_Linux.c
#Cid: cvs_linux_freebsd_HEAP.c
#Post-Date: Fri, 21 May 2004 11:18:52 -0700 (PDT)
2004-05-23 02:00karin.namazu.org が何者かに侵害される
2004-05-24 www.mozilla.gr.jp が何者かに侵害される
2004-05-25 06:08Full-Disclosure に CVS Security Vulnerability が投稿される
#Post-Date: Mon, 24 May 2004 17:08:33 -0400
2004-05-27 karin.namazu.org がセキュリティ侵害を受けました を Web 公開
2004-05-28 08:51First メーリングリスト経由で TA04-147A が届く
#Post-Date: Thu, 27 May 2004 19:33:19 -0400
2004-05-28 09:01US-CERT メーリングリスト経由で TA04-147A が届く
#Post-Date: Thu, 27 May 2004 19:33:53 -0400
2004-05-28 09:28CERT メーリングリスト経由で TA04-147A が届く
#Post-Date: Thu, 27 May 2004 19:35:44 -0400
2004-05 helium.ruby-lang.org が何者かに侵害される
2004-05-29 16:16 helium.ruby-lang.orgがクラックされました を Web 公開
#Last-Modified: Sat, 29 May 2004 07:16:41 GMT
2004-06-03 14:04IPA/ISEC CVSサーバーのバッファオーバーフローの脆弱性について を Web 公開
#Last-Modified: Thu, 03 Jun 2004 05:04:27 GMT

参考情報


  1. Technical Cyber Security Alert TA04-147A
    CVS Heap Overflow Vulnerability
  2. Vendor Status Note JVNTA04-147A
    CVS サーバに含まれるヒープバッファオーバーフローの脆弱性