Apply patch from https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2012-0804
authortg <tg@mirbsd.org>
Tue, 7 Feb 2012 17:31:29 +0000 (17:31 +0000)
committertg <tg@mirbsd.org>
Tue, 7 Feb 2012 17:31:29 +0000 (17:31 +0000)
10x Moritz Mühlenhoff for pointing

configure.in
debian/NEWS
debian/README.source
debian/changelog
src/client.c

index 2f2e229..e402d85 100644 (file)
@@ -15,7 +15,7 @@ but WITHOUT ANY WARRANTY; without even the implied warranty of
 MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
 GNU General Public License for more details.])
 
-AC_INIT([Concurrent Versions System (CVS)],[1.12.13-MirDebian-6],
+AC_INIT([Concurrent Versions System (CVS)],[1.12.13-MirDebian-7],
        [bug-cvs@nongnu.org],[cvs])
 AC_CONFIG_SRCDIR(src/cvs.h)
 AC_CONFIG_AUX_DIR(build-aux)
index 486b874..4176a18 100644 (file)
@@ -1,4 +1,4 @@
-cvs (2:1.12.13+real-7) xunstable; urgency=low
+cvs (2:1.12.13+real-7) unstable; urgency=high
 
   rcs2log no longer lives in the PATH, the contributed script
   and its manpage are in /usr/share/cvs/contrib/rcs2log now.
index 4f0c0e1..3eb6750 100644 (file)
@@ -1,5 +1,5 @@
 #!/bin/sh
-# $MirOS: contrib/hosted/tg/deb/cvs/debian/README.source,v 1.12 2011/12/04 19:19:41 tg Exp $
+# $MirOS: contrib/hosted/tg/deb/cvs/debian/README.source,v 1.13 2012/02/07 17:31:28 tg Exp $
 #-
 # The extracted .orig.tar.gz is kept in CVS, in the origtgz branch
 # with appropriate tags. Changes are directly applied to the code,
@@ -11,7 +11,7 @@
 # sudo apt-get install autoconf2.59 automake1.9
 #
 # The patchlevel is kept in configure.in (and regenerated as below).
-# MirDebian-6 is in sync with MirOS-0AAF.1 revision.
+# MirDebian-7 is in sync with MirOS-0AB0.1 revision.
 #
 # The patches should be kept in sync with those in The MirPorts Framework:
 # Vcs-CVS: :ext:_anoncvs@anoncvs.mirbsd.org:/cvs ports/devel/cvs/patches
index ee94127..640d61e 100644 (file)
@@ -1,6 +1,5 @@
-cvs (2:1.12.13+real-7) xunstable; urgency=low
+cvs (2:1.12.13+real-7) unstable; urgency=high
 
-  * Level: 0AAF.2 (for README.source before uploading)
   * Drop unsafe scripts from contrib, add NEWS entry for that
     (Closes: #658947)
   * debian/rules: cleanup (remove install/check, dh_installdirs;
@@ -13,6 +12,7 @@ cvs (2:1.12.13+real-7) xunstable; urgency=low
   * Don’t ship cvshelp.man either, it’s antiquated and not useful
   * Fix meaning of -rHEAD for the diff subcommand (with NEWS entry)
   * Make the testsuite again usable (full PASS)
+  * Apply suggested patch for CVE-2012-0804 from Petr Pisar
 
  -- Thorsten Glaser <tg@mirbsd.de>  Sun, 04 Dec 2011 20:10:09 +0000
 
index f7e7534..98c8bd1 100644 (file)
@@ -3558,9 +3558,9 @@ connect_to_pserver (cvsroot_t *root, struct buffer **to_server_p,
          * code.
          */
        read_line_via (from_server, to_server, &read_buf);
-       sscanf (read_buf, "%s %d", write_buf, &codenum);
+       count = sscanf (read_buf, "%*s %d", &codenum);
 
-       if ((codenum / 100) != 2)
+       if (count != 1 || (codenum / 100) != 2)
            error (1, 0, "proxy server %s:%d does not support http tunnelling",
                   root->proxy_hostname, proxy_port_number);
        free (read_buf);