Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Vigil@nce - Subversion mod_dav_svn : accès via SVNPathAuthz short_circuit

octobre 2010 par Vigil@nce

Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/

SYNTHÈSE DE LA VULNÉRABILITÉ

Lorsque la directive SVNPathAuthz est configurée à
"short_circuit", certaines règles d’accès de mod_dav_svn ne sont
pas honorées.

Gravité : 2/4

Date création : 04/10/2010

DESCRIPTION DE LA VULNÉRABILITÉ

Le module mod_dav_svn est fourni avec Subversion. Il est installé
sur Apache httpd, afin d’offrir un accès distant au dépôt.

La directive SVNPathAuthz de mod_dav_svn peut être configurée à
"short_circuit", pour indiquer d’utiliser uniquement le fichier de
règles de Subversion. Ce n’est pas la configuration par défaut.

Le fichier de règles de Subversion contient par exemple
(simplifié) :

[/] ... (règles pour la racine)

[/repertoire] ... (règles pour un répertoire)
[MonDepot :/repertoire] ... (règles pour un répertoire du dépôt)

Ces règles doivent être honorées dans l’ordre ci-dessus.

Cependant, la troisième règle n’est jamais appliquée, car elle
précise un nom de dépôt.

Lorsque la directive SVNPathAuthz est configurée à
"short_circuit", certaines règles d’accès de mod_dav_svn ne sont
donc pas honorées. Un attaquant peut alors, selon la
configuration, obtenir un accès en lecture ou écriture.

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

http://vigilance.fr/vulnerabilite/Subversion-mod-dav-svn-acces-via-SVNPathAuthz-short-circuit-9997


Voir les articles précédents

    

Voir les articles suivants