Subversion修改属性远程信息泄露漏洞

Subversion是一款开放源码的多用户版本控制系统，支持非ASCII 文本和二进制数据。

Subversion在处理日志访问时存在漏洞，远程攻击者可能利用此漏洞获取敏感信息。

由于日志消息中可能会包含有关更改的详细信息，因此Subversion为用户访问指定的修改元数据设置了三级权限，分别为“完全访问”、“不可访问”和“部分访问”，其中设置为“部分访问”权限的用户仅可以看到svn:date和svn:author修改属性，以及changed-paths信息的路径（但不是信息）。

如果读者可以访问修改中所变更的所有路径，但不可以访问修改中所拷贝的所有路径，且使用svn propget、svn proplist、svn propedit子命令（或其API），则设置了“部分访问”权限的用户可以获得对某些修改属性相关查询操作的“完全访问”。例如，假设创建了/public/document.txt修改路径做为/private/document.txt的拷贝，读者被授权读取/public/document.txt但不可读取/private/document.txt，也就是读者仅应被授予对修复的“部分访问”权限。但svn prop*命令在确定修改访问级别时没有考虑拷贝源路径，仅检查了读者对拷贝目的地的访问，这允许读者获得“完全访问”，看到所有的修改属性，包括日志消息。

Subversion Subversion < 1.4.4
临时解决方法：

• 更改或删除属性值。

厂商补丁：

Subversion

目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

<a href=“http://subversion.tigris.org/downloads/subversion-1.4.4.tar.bz2” target=“_blank”>http://subversion.tigris.org/downloads/subversion-1.4.4.tar.bz2</a>