Вновь обнаруженные ошибки угрожают безопасности хранилища кода open source


Специалисты выявили, по крайней мере, шесть новых пробелов в защите самой популярной в мире открытого ПО программе для управления кодом в процессе разработки.

По словам представителя проекта Concurrent Versions System, в числе этих уязвимостей есть ошибка, позволяющая хакерам получить через интернет контроль над сервером CVS, что ставит под угрозу содержимое хранилища кода. Ошибки обнаружены в ходе анализа кода программы, предпринятого после объявления об аналогичных проблемах в прошлом месяце.

Пробелы в защите еще раз убеждают в верности рекомендаций руководителей CVS Project, которые говорят, что командам разработчиков не следует размещать хранилища кода непосредственно в интернете. Лучше делать их доступными только в локальных сетях или через VPN (virtual private networks), советует Дерек Роберт Прайс, один из трех мейнтейнеров и релиз-менеджер CVS Project.«Мы всегда говорим, что CVS небезопасна, и никогда не питали никаких иллюзий на этот счет».

Concurrent Versions System используется крупными проектами open source, включая веб-сервер Apache и пользовательские интерфейсы для Linux GNOME и KDE. Система позволяет программистам регистрировать вносимые в код изменения и отслеживать разные версии разрабатываемой программы.

Крупные проекты, использующие CVS, были предупреждены о проблемах 28 мая, а в среду эта информация была обнародована.

Большинство ошибок обнаружено двумя специалистами, изучавшими код после исправления предыдущих ошибок в мае. Один из исследователей, Стивен Эссер, нашел и предыдущие пробелы в защите. Ситуация обострилась еще больше, когда появилось подозрение, что некий онлайновый вандал воспользовался прежними уязвимостями для доступа к серверу CVS Project: он распространил e-mail, в котором сообщает, что получил такой доступ. Прайс говорит, что участники проекта отключили этот сервер и планируют проанализировать файлы, чтобы найти свидетельства атаки.

Проект уже выпустил обновление, устраняющее проблемы. Как и продавец Linux SuSE. Обновления для других дистрибутивов Linux, включающих CVS, должны выйти на этой неделе.


Автор: Роберт Лемос
Дата:
» Оставьте первым свой комментарий

Новости > Новости НеWindows > Вновь обнаруженные ошибки угрожают безопасности хранилища кода open source
Все рубрики статей:
Топ-сегодня: Новости НеWindows
Скриншоты Linux Mint 12
Более двух десятков скриншотов новой операционной системы Linux Mint 12
Endless OS 3.2 вышла тихо и незаметно
Endless OS примечателен максимально простой схемой дистрибуции
Касперский уйдет после выпуска операционной системы
Также мы можем на этой штуке поднимать виртуальную машину, на которой потом запускаются и разнообразные ОС Windows, и Linux
Microsoft открыла сайт для приема багов от пользователей IE 7.0
Инструкция по использованию сайта прилагается
Ацкая статья про детей от Linux
О тех, кто больше всего мешает продвижению Linux в России в настоящее время
Новые статьи: Новости НеWindows
Выпущена ОС Debian 10
Разработчики операционной системы Debian объявили о релизе стабильной 10-й версии, получившей кодовое имя «Buster»
Российскую ОС Astra Linux поставят на смартфоны
В России поступят в продажу первые мобильные устройства на отечественной операционной системе Astra Linux
Российская ОС «Аврора» может сменить Android на смартфонах Huawei
Глава Минкомсвязи Константин Носков и исполнительный директор Huawei Го Пин обсуждали возможный переход смартфонов китайской компании на российскую операционную систему «Аврора»
Перевыполнен план по сбору пожертвований OpenBSD на 2019 год
Разработчики операционной системы OpenBSD перевыполнили план по сбору пожертвований на 2019 год
Huawei представит конкурента Android
Операционная система от Huawei позволит объединить в единое целое смартфоны, компьютеры, планшеты, телевизоры, автомобили, умные носимые приборы и другие устройства

Статистика | Рейтинги | Авторам | Реклама
Copyright © 1999-2019 Softodrom.ru
О перепечатках | Рассылки | Пользовательское соглашение | Политика конфиденциальности | О проекте | Карта сайта
Яндекс.Метрика 
В Опере нет автоматического способа добавить поиск по Софтодрому.
Чтобы вручную добавить поиск по Софтодрому, нужно сделать следующее:
  1. Нажать Ctrl+F12.
  2. Выбрать вкладку «Поиск».
  3. Нажать «Добавить» (Add).
  4. В появившемся окне:
    1. Заполнить название (Softodrom.ru).
    2. Заполнить адрес: https://www.softodrom.ru/Поиск/?text=%s&qs
      Если нет поля «адрес», то кликнуть на «Подробнее».
    3. Остальные поля заполнить по желанию.
  5. Нажать «ОК».