Evgeny Kotkov

**Nome do software vulnerável e versões afetadas** Versões do Apache Subversion anteriores à versão corrigida **Descrição** A vulnerabilidade está relacionada a uma falha na autorização no sistema centralizado de controle de versão Apache Subversion. A exploração dessa vulnerabilidade permite que um invasor remoto acesse dados confidenciais. Especificamente, os servidores Subversion revelam os caminhos ‘copyfrom’ que deveriam estar ocultos de acordo com as regras de autorização baseadas em caminhos configuradas. Quando um nó é copiado de um local protegido, os usuários com acesso à cópia podem ver o caminho ‘copyfrom’ do original, revelando o fato de que o nó foi copiado. Apenas o caminho ‘copyfrom’ é revelado, não seu conteúdo. Tanto os servidores httpd quanto os svnserve estão vulneráveis. **Recomendações** Como solução temporária, considere restringir o acesso ao caminho `copyfrom` para minimizar o risco de exploração. Para versões anteriores à versão corrigida, atualize para a versão mais recente para resolver o problema. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** Subversion versions 1.6.0 through 1.7.19 Subversion versions 1.8.0 through 1.8.11 **Description** The issue is related to resource management errors in the mod dav svn and svnserve servers of the Subversion centralized version control system. Exploitation of this issue may allow a remote attacker to cause a denial of service when processing certain combinations of parameters related to dynamically evaluated revision numbers. This can lead to an assertion failure and abort. **Recommendations** For Subversion versions 1.6.0 through 1.7.19, update to a version outside of this range to resolve the issue. For Subversion versions 1.8.0 through 1.8.11, update to a version outside of this range to resolve the issue. As a temporary workaround, consider restricting access to the mod dav svn and svnserve servers until a patch is available.

**Name of the Vulnerable Software and Affected Versions** Subversion versions 1.8.0 through 1.8.11 **Description** The issue allows remote attackers to cause a denial of service, specifically memory consumption, by sending a large number of REPORT requests. This triggers the traversal of FSFS repository nodes, leading to the denial of service. **Recommendations** For Subversion versions 1.8.0 through 1.8.11, consider restricting access to the mod dav svn server to minimize the risk of exploitation until a patch is available. As a temporary workaround, limiting the number of REPORT requests from a single source may also help mitigate the issue.