Corrette nuove brecce del CVS

Il progetto che sviluppa CVS, tool open source che permette di tenere traccia dei cambiamenti al codice di un progetto, ha rilasciato nuove versioni aggiornate del software che correggono alcune serie falle di sicurezza
Il progetto che sviluppa CVS, tool open source che permette di tenere traccia dei cambiamenti al codice di un progetto, ha rilasciato nuove versioni aggiornate del software che correggono alcune serie falle di sicurezza


Roma – Il Concurrent Versions System (CVS), un software open source utilizzato da molti sviluppatori e progetti open per gestire le varie versioni di un codice, non sembra ancora uscito dai riflettori che da qualche tempo gli sono stati puntati addosso dagli esperti di sicurezza.

A poche settimane di distanza dalla scoperta di una seria vulnerabilità di sicurezza, la società E-matters ha pubblicato un advisory in cui spiega che, dopo una recente revisione del codice, sono venuti a galla altri problemi di sicurezza, taluni piuttosto pericolosi.

Sebbene alcune vulnerabilità possono essere sfruttate solo disponendo di un account valido al sistema CVS, altre possono consentire l’esecuzione di codice da remoto o il lancio di attacchi di denial of service. In particolare, E-matters sostiene che una falla chiamata “double-free()” è già stata utilizzata in passato per compromettere diversi sistemi Linux.

Il team di sviluppo di CVS ha già rilasciato degli aggiornamenti che correggono, fra le altre, anche le vulnerabilità riportate da E-Matters.

In passato alcune debolezze contenute nel CVS sono state sfruttate dai cracker per inserire dei cavalli di Troia nei server di certi progetti open source, fra cui Sendmail , e per penetrare su uno dei computer della Free Software Foundation.

Link copiato negli appunti

Ti potrebbe interessare

10 06 2004
Link copiato negli appunti