Connect with us

technokrata

Újabb sebezhetőségek fenyegetik az open source fejlesztést

Dotkom

Újabb sebezhetőségek fenyegetik az open source fejlesztést

Még egy hónap sem telt el, hogy több sérülékenység is ismertté vált a nyíltforrású fejlesztés kapcsán, s máris újabb hibákról vagyunk kénytelenek beszámolni.

Sebezhetőségek miatt vannak veszélyben a nyíltforrású projektek – írtuk még májusban. Akkor jelentette be ugyanis Stefan Esser biztonságkutató, hogy két sérülékenység nyomára bukkant. Az egyiket a Concurrent Versions System (CVS) nevű alkalmazásban találta, melyet sok fejlesztő programkódok tárolására használ. A másikat pedig az újabb, az előbbihez képest kevésbé elterjedt Subversion nevű rendszerben fedezte fel Esser, aki egyébként a német e-Matters cég egyik vezető alkalmazottja.

IT-biztonsággal foglalkozó kutatók (többek között Stefan Esser is) az azóta eltelt időszak alatt hat újabb rést találtak, melyek a nyíltforrású világot fenyegetik. Ismét, ám más szemszögből bizonyult sebezhetőnek a CVS: egy hiba például lehetővé teszi, hogy egy támadó átvegye az Internetről a CVS szerver felett az irányítást. Erre, és a többi hibára azt követően találtak rá, hogy a múlt hónapban felfedezett rések után alaposabb vizsgálatnak vetették alá az alkalmazás forráskódját.

Derek Robert Price, a CVS Project karbantartásáért felelős személyek egyike arra hívta fel a figyelmet, hogy nagyon kockázatos a fejlesztők számára, ha az Internetről direkt hozzáférhetővé teszik programsoraikat. Ehelyett azt javasolta a szakember, hogy csak helyi hálózatokon, vagy virtuális magánhálózatokon (VPN) keresztül osszák meg a fejlesztési munkákat. ˝Mindig is mondtuk, hogy a CVS nem biztonságos, efelől soha semmi kétséget nem hagytunk.˝ – közölte Price.

Számos nagy, nyíltforrású projekteken dolgozó csapat használja a CVS-t olyan szerverek fenntartására, melyek segítségével karban lehet tartani az adott alkalmazások különböző verzióit a programfejlesztés során. Ilyen csapatot alkotnak például a Gnome és a KDE linuxos grafikus kezelői felületet készítő fejlesztői, de a CVS-t használja az Apache webszerverért felelős csoport és a nagyobb Linux disztribútorok is. Ezeket a fejlesztőket már május 28-án értesítették, míg a nyilvánosságot csak most szerdán szembesítették a tényekkel.



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek