Apache Subversion 1.0.x - 1.7.17 / 1.8.x < 1.8.10 多种漏洞

medium Nessus 插件 ID 78068

简介

远程主机装有受多种漏洞影响的应用程序。

描述

远程主机上安装的 Subversion Server 版本为低于 1.7.18 的 1.x.x 或低于 1.8.10 的 1.8.x。因此,该应用程序受到以下漏洞的影响:

- 在 Serf RA 层中存在一个缺陷。此缺陷可造成无法正确评估 HTTPS 连接的通配符,从而可能导致应用程序接受与正确的主机名不匹配的证书。这可能允许远程中间人攻击者拦截流量和欺骗有效会话。(CVE-2014-3522)

- 使用 URL 的 MD5 哈希和经过认证的领域存储缓存凭据,远程攻击者或可用这一点,通过特别构建的认证领域获取这些凭据。(CVE-2014-3528)

解决方案

升级到 Subversion Server 1.7.18 / 1.8.10 或更高版本,或者应用供应商提供的修补程序或变通方案。

另见

http://subversion.apache.org/security/CVE-2014-3522-advisory.txt

http://subversion.apache.org/security/CVE-2014-3528-advisory.txt

插件详情

严重性: Medium

ID: 78068

文件名: subversion_1_8_10.nasl

版本: 1.3

类型: local

代理: windows

系列: Windows

发布时间: 2014/10/6

最近更新时间: 2018/7/30

配置: 启用偏执模式

支持的传感器: Nessus Agent, Nessus

风险信息

VPR

风险因素: Medium

分数: 4.7

CVSS v2

风险因素: Medium

基本分数: 4

时间分数: 3

矢量: CVSS2#AV:N/AC:H/Au:N/C:P/I:P/A:N

漏洞信息

CPE: cpe:/a:apache:subversion

必需的 KB 项: installed_sw/Subversion Server, Settings/ParanoidReport

易利用性: No known exploits are available

补丁发布日期: 2014/8/19

漏洞发布日期: 2014/8/19

参考资料信息

CVE: CVE-2014-3522, CVE-2014-3528

BID: 68995, 69237