Вновь обнаруженные ошибки угрожают безопасности хранилища кода open source

По словам представителя проекта Concurrent Versions System, в числе этих уязвимостей есть ошибка, позволяющая хакерам получить через интернет контроль над сервером CVS, что ставит под угрозу содержимое хранилища кода. Ошибки обнаружены в ходе анализа кода программы, предпринятого после объявления об аналогичных проблемах в прошлом месяце.

Пробелы в защите еще раз убеждают в верности рекомендаций руководителей CVS Project, которые говорят, что командам разработчиков не следует размещать хранилища кода непосредственно в интернете. Лучше делать их доступными только в локальных сетях или через VPN (virtual private networks), советует Дерек Роберт Прайс, один из трех мейнтейнеров и релиз-менеджер CVS Project.«Мы всегда говорим, что CVS небезопасна, и никогда не питали никаких иллюзий на этот счет».

Concurrent Versions System используется крупными проектами open source, включая веб-сервер Apache и пользовательские интерфейсы для Linux GNOME и KDE. Система позволяет программистам регистрировать вносимые в код изменения и отслеживать разные версии разрабатываемой программы.

Крупные проекты, использующие CVS, были предупреждены о проблемах 28 мая, а в среду эта информация была обнародована.

Большинство ошибок обнаружено двумя специалистами, изучавшими код после исправления предыдущих ошибок в мае. Один из исследователей, Стивен Эссер, нашел и предыдущие пробелы в защите. Ситуация обострилась еще больше, когда появилось подозрение, что некий онлайновый вандал воспользовался прежними уязвимостями для доступа к серверу CVS Project: он распространил e-mail, в котором сообщает, что получил такой доступ. Прайс говорит, что участники проекта отключили этот сервер и планируют проанализировать файлы, чтобы найти свидетельства атаки.

Проект уже выпустил обновление, устраняющее проблемы. Как и продавец Linux SuSE. Обновления для других дистрибутивов Linux, включающих CVS, должны выйти на этой неделе.