漏洞关键信息 影响版本 受影响版本 - Subversion HTTPD servers <= 1.6.20 - Subversion HTTPD servers 1.7.0 through 1.7.8 (inclusive) 已修复版本 - Subversion 1.6.21 - Subversion 1.7.9 - svnserv (任何版本) 不受影响 漏洞描述 Subversion 的 Apache HTTPD 服务器模块在大量属性被设置或删除到节点时,会导致内存使用异常增加,这就可能引起 Denial of Service (DoS) 攻击。 漏洞细节 设置或删除节点上的大量属性会导致大量内存使用。 每个 进程在内存使用上趋于稳定,这可能导致内存耗尽,从而引发 DoS 攻击。 攻击需要对仓库的写权限,通常需要身份验证,匿名用户无法利用该漏洞。 漏洞严重性 CVSSv2 基本评分: 4.9 向量: AV:N/AC:H/Au:S/C:N/I:N/A:C - 考虑为中等风险漏洞。 推荐措施 升级建议:所有用户应升级到 Subversion 1.7.9 版本。 - 如果无法升级,可以应用提供的补丁。 Subversion 1.6.x 或 1.7.x 用户可以找到最新的安装包:Subversion 安装包 使用内存限制(如 ulimit)来防止服务运行在同一机器上的其他服务受到攻击影响。 参考资料与报告者 CVE 编号:CVE-2013-1845 报告人:Alexander Klink, n.runs