低危 apache subversion 空指针解引用

CVE编号

CVE-2020-17525

利用情况

暂无

补丁情况

官方补丁

披露时间

2021-03-17

漏洞描述

Apache Subversion是美国阿帕奇（Apache）基金会的一套开源的版本控制系统。该系统可兼容并发版本系统(CVS)。 Apache Subversion存在拒绝服务漏洞，攻击者可利用该漏洞通过mod authz svn可以触发一个致命错误，导致拒绝服务。

解决建议

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：https://access.redhat.com/errata/RHSA-2021:0509

参考链接
https://lists.debian.org/debian-lts-announce/2021/05/msg00000.html
https://subversion.apache.org/security/CVE-2020-17525-advisory.txt

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	apache	subversion	*	From (including) 1.11.0	Up to (excluding) 1.14.1
	运行在以下环境
	应用	apache	subversion	*	From (including) 1.9.0	Up to (excluding) 1.10.7
	运行在以下环境
	系统	alpine_3.10	subversion	*		Up to (excluding) 1.12.2-r1
	运行在以下环境
	系统	alpine_3.11	subversion	*		Up to (excluding) 1.12.2-r2
	运行在以下环境
	系统	alpine_3.12	subversion	*		Up to (excluding) 1.13.0-r3
	运行在以下环境
	系统	alpine_3.13	subversion	*		Up to (excluding) 1.14.1-r0
	运行在以下环境
	系统	alpine_3.14	subversion	*		Up to (excluding) 1.14.1-r0
	运行在以下环境
	系统	alpine_3.15	subversion	*		Up to (excluding) 1.14.1-r0
	运行在以下环境
	系统	alpine_3.16	subversion	*		Up to (excluding) 1.14.1-r0
	运行在以下环境
	系统	alpine_3.17	subversion	*		Up to (excluding) 1.14.1-r0
	运行在以下环境
	系统	alpine_3.18	subversion	*		Up to (excluding) 1.14.1-r0
	运行在以下环境
	系统	alpine_edge	subversion	*		Up to (excluding) 1.14.1-r0
	运行在以下环境
	系统	amazon_AMI	subversion	*		Up to (excluding) 1.9.7-1.61.amzn1
	运行在以下环境
	系统	anolis_os_8	subversion-devel	*		Up to (excluding) 1.10.2-2
	运行在以下环境
	系统	anolis_os_8.2	libserf-devel	*		Up to (excluding) 1.10.2-2
	运行在以下环境
	系统	centos_8	subversion-debugsource	*		Up to (excluding) 1.10.2-4.module+el8.3.0+9886+ac338b6d
	运行在以下环境
	系统	debian_10	subversion	*		Up to (excluding) 1.10.4-1+deb10u2
	运行在以下环境
	系统	debian_11	subversion	*		Up to (excluding) 1.14.1-1
	运行在以下环境
	系统	debian_12	subversion	*		Up to (excluding) 1.14.1-1
	运行在以下环境
	系统	debian_9	subversion	*		Up to (excluding) 1.9.5-1+deb9u6
	运行在以下环境
	系统	debian_sid	subversion	*		Up to (excluding) 1.14.1-1
	运行在以下环境
	系统	fedora_32	python3-subversion	*		Up to (excluding) 1.14.1-1.fc32
	运行在以下环境
	系统	fedora_33	subversion-libs	*		Up to (excluding) 1.14.1-1.fc33
	运行在以下环境
	系统	kylinos_aarch64_V10SP1	perl-subversion	*		Up to (excluding) 1.12.2-4.ky10
	运行在以下环境
	系统	kylinos_aarch64_V10SP2	perl-subversion	*		Up to (excluding) 1.12.2-4.ky10
	运行在以下环境
	系统	kylinos_loongarch64_V10SP1	perl-subversion	*		Up to (excluding) 1.12.2-4.a.ky10
	运行在以下环境
	系统	kylinos_x86_64_V10SP1	perl-subversion	*		Up to (excluding) 1.12.2-4.ky10
	运行在以下环境
	系统	kylinos_x86_64_V10SP2	perl-subversion	*		Up to (excluding) 1.12.2-4.ky10
	运行在以下环境
	系统	opensuse_Leap_15.2	subversion-bash-completion	*		Up to (excluding) 1.10.6-lp152.2.9.1
	运行在以下环境
	系统	oracle_8	oraclelinux-release	*		Up to (excluding) 1.10.2-4.module+el8.3.0+9645+c2a98c55
	运行在以下环境
	系统	redhat_8	subversion-debugsource	*		Up to (excluding) 1.10.2-4.module+el8.3.0+9886+ac338b6d
	运行在以下环境
系统	ubuntu_18.04	subversion	*		Up to (excluding) 1.9.7-4ubuntu1.1
运行在以下环境
系统	ubuntu_20.04	subversion	*		Up to (excluding) 1.13.0-3ubuntu0.2

阿里云评分 3.3

• 攻击路径 远程
• 攻击复杂度 复杂
• 权限要求 无需权限
• 影响范围 有限影响
• EXP成熟度 N/A
• 补丁情况 官方补丁
• 数据保密性 无影响
• 数据完整性 无影响
• 服务器危害 DoS
• 全网数量 N/A

CWE-ID	漏洞类型
CWE-476	空指针解引用

Exp相关链接

- avd.aliyun.com