Вновь обнаруженные ошибки угрожают безопасности хранилища кода open source

Специалисты выявили, по крайней мере, шесть новых пробелов в защите самой популярной в мире открытого ПО программе для управления кодом в процессе разработки.

По словам представителя проекта Concurrent Versions System, в числе этих уязвимостей есть ошибка, позволяющая хакерам получить через интернет контроль над сервером CVS, что ставит под угрозу содержимое хранилища кода. Ошибки обнаружены в ходе анализа кода программы, предпринятого после объявления об аналогичных проблемах в прошлом месяце.

Пробелы в защите еще раз убеждают в верности рекомендаций руководителей CVS Project, которые говорят, что командам разработчиков не следует размещать хранилища кода непосредственно в интернете. Лучше делать их доступными только в локальных сетях или через VPN (virtual private networks), советует Дерек Роберт Прайс, один из трех мейнтейнеров и релиз-менеджер CVS Project. «Мы всегда говорим, что CVS небезопасна, и никогда не питали никаких иллюзий на этот счет».

Concurrent Versions System используется крупными проектами open source, включая веб-сервер Apache и пользовательские интерфейсы для Linux GNOME и KDE. Система позволяет программистам регистрировать вносимые в код изменения и отслеживать разные версии разрабатываемой программы.

Крупные проекты, использующие CVS, были предупреждены о проблемах 28 мая, а в среду эта информация была обнародована.

Большинство ошибок обнаружено двумя специалистами, изучавшими код после исправления предыдущих ошибок в мае. Один из исследователей, Стивен Эссер, нашел и предыдущие пробелы в защите. Ситуация обострилась еще больше, когда появилось подозрение, что некий онлайновый вандал воспользовался прежними уязвимостями для доступа к серверу CVS Project: он распространил e-mail, в котором сообщает, что получил такой доступ. Прайс говорит, что участники проекта отключили этот сервер и планируют проанализировать файлы, чтобы найти свидетельства атаки.

Проект уже выпустил обновление, устраняющее проблемы. Как и продавец Linux SuSE. Обновления для других дистрибутивов Linux, включающих CVS, должны выйти на этой неделе.

В продолжение темы:

2004-06-16

В ядре Linux обнаружен дефект

Обсуждение и комментарии

	12345678901234567890123456789012345678901234567890 10 Jun 2004 8:25 PM
Блин, ну когда же все дыры залатают, ну сколько можно-то, а!

	Wintermute - devnul.ru 11 Jun 2004 9:41 AM
Только тогда, когда все программы будут написаны :)

	-- 11 Jun 2004 10:30 AM
CVS давно уже пора на свалку истории. При его проектировании секурности уделялось мало внимания. Есть отличная замена - subversion и gnuarch. Даже проприетарщина - BitKeeper.

	Black IBM.* 11 Jun 2004 4:43 PM
да ладно надуманая как то проблема. cvs проекты которы закрыт проектов испоьзют в инете и не выставляют. а открыты cvs и дак доступны. или что думаю какой хакеры залезет и снесет этот cvc? но тоже ведт копиию иметь надо.. хотя да дял проекто которыо через инет на cv работают это может быть неприятно.

	Yuri 11 Jun 2004 9:57 PM
2Black IBM: Там есть дыры, которые позволяют не только менять хранимые в CVS данные, но также закачивать на сервер и запускать на нем произвольные программы (не под рутом). Только не прошлой неделе наблюдал, как в одной сети именно через CVS какой-то придурок зачем-то залил и запустил программы, организовавшие DOS-атаку на маршрутизаторы.

	Masonok 15 Jun 2004 6:55 AM
2 Yuri> А если в код этой программы вставить код поднимающий права до рута, используя какую-нибудь "локальную" уязвимость. Их последнее время много находят, а сколько еще не нашли. Что тогда получится?

	am 15 Jun 2004 10:48 AM
http://pax.grsecurity.net/ разруха она в головах

	AtViL - paradoxxrbcmail.ru 10 May 2006 2:09 PM
www.microhak.narod.ru самый крутой хакерский софт!

← май 2004

6 7 8 9 10 11 13 14 15

июль 2004 →