Программа: Subversion до версии 1.0.8; 1.1-rc1, -rc2, и -rc3 

Удаленный пользователь может получить доступ к некоторым метаданным на целевой системе.
mod_authz_svn не проверяет доступ к метаданным на нечитаемых путях. Если администратор отметил путь как нечитаемый (‘unreadable’), то удаленный пользователь может все еще вызвать некоторые команды, чтобы определить существование нечитаемого пути. Уязвимые команды ‘svn log -v’, ‘svn propget’, и ‘svn blame’.
В версиях 1.1-rc2 и 1.1-rc3 удаленный пользователь может также вызвать команду ‘svn blame’, чтобы послать старые, нечитабельные версии файлов к клиенту, даже если содержимое этих файлов не отображается в клиенте.

Оставить мнение