VULHUB ™

Apache Subversion是美国阿帕奇（Apache）软件基金会的一套开源的版本控制系统，该系统可兼容并发版本系统(CVS)。 Subversion在处理日志访问时存在漏洞，远程攻击者可能利用此漏洞获取敏感信息。 由于日志消息中可能会包含有关更改的详细信息，因此Subversion为用户访问指定的修改元数据设置了三级权限，分别为"完全访问"、"不可访问"和"部分访问"，其中设置为"部分访问"权限的用户仅可以看到svn:date和svn:author修改属性，以及changed-paths信息的路径(但不是信息)。 如果读者可以访问修改中所变更的所有路径，但不可以访问修改中所拷贝的所有路径，且使用svn propget、svn proplist、svn propedit子命令(或其API)，则设置了"部分访问"权限的用户可以获得对某些修改属性相关查询操作的"完全访问"。例如，假设创建了/public/document.txt修改路径做为/private/document.txt的拷贝，读者被授权读取/public/document.txt但不可读取/private/document.txt，也就是读者仅应被授予对修复的"部分访问"权限。但svn prop*命令在确定修改访问级别时没有考虑拷贝源路径，仅检查了读者对拷贝目的地的访问，这允许读者获得"完全访问"，看到所有的修改属性，包括日志消息。

Apache Subversion是美国阿帕奇（Apache）软件基金会的一套开源的版本控制系统，该系统可兼容并发版本系统(CVS)。 Subversion在处理日志访问时存在漏洞，远程攻击者可能利用此漏洞获取敏感信息。 由于日志消息中可能会包含有关更改的详细信息，因此Subversion为用户访问指定的修改元数据设置了三级权限，分别为"完全访问"、"不可访问"和"部分访问"，其中设置为"部分访问"权限的用户仅可以看到svn:date和svn:author修改属性，以及changed-paths信息的路径(但不是信息)。 如果读者可以访问修改中所变更的所有路径，但不可以访问修改中所拷贝的所有路径，且使用svn propget、svn proplist、svn propedit子命令(或其API)，则设置了"部分访问"权限的用户可以获得对某些修改属性相关查询操作的"完全访问"。例如，假设创建了/public/document.txt修改路径做为/private/document.txt的拷贝，读者被授权读取/public/document.txt但不可读取/private/document.txt，也就是读者仅应被授予对修复的"部分访问"权限。但svn prop*命令在确定修改访问级别时没有考虑拷贝源路径，仅检查了读者对拷贝目的地的访问，这允许读者获得"完全访问"，看到所有的修改属性，包括日志消息。