Порция уязвимостей в CVS

10/06/2004 16:25

Если вы помните, мы сообщали ранее о взломе сайта cvshome.org. Прии анализе инцидента ряд специалистов по безопасности, среди которых - Sebastian Krahmer из SuSE, Stefan Esser из немецкой e-matters GmbH, Derek Robert Price подвергли весь код исходников сервера глубокому анализу, который привёл их неутешительным выводам. В исходном коде системы отслеживания изменения версий CVS обнаружен целый ряд ошибок. В частности, в своём сообщении Стефан сообщает о 6-ти подобных уязвимостях в разных программах проекта. Уязвимости довольно критичные - некоторые приводят к краху системы, некоторые к возможностям выполнения исходного кода на CVS-сервере с привилегиями пользователя, от имени которого запускается CVS-сервер. Уязвимости подвержены версии - CVS feature release <= 1.12.8 и стабильные релизы версии <= 1.11.16. Администраторам серверов настоятельно рекомендуют срочно обновиться до вновь выпущенной версии.
Подробности