Újabb sebezhetőségek fenyegetik az open source fejlesztést

Sebezhetőségek miatt vannak veszélyben a nyíltforrású projektek – írtuk még májusban. Akkor jelentette be ugyanis Stefan Esser biztonságkutató, hogy két sérülékenység nyomára bukkant. Az egyiket a Concurrent Versions System (CVS) nevű alkalmazásban találta, melyet sok fejlesztő programkódok tárolására használ. A másikat pedig az újabb, az előbbihez képest kevésbé elterjedt Subversion nevű rendszerben fedezte fel Esser, aki egyébként a német e-Matters cég egyik vezető alkalmazottja.

IT-biztonsággal foglalkozó kutatók (többek között Stefan Esser is) az azóta eltelt időszak alatt hat újabb rést találtak, melyek a nyíltforrású világot fenyegetik. Ismét, ám más szemszögből bizonyult sebezhetőnek a CVS: egy hiba például lehetővé teszi, hogy egy támadó átvegye az Internetről a CVS szerver felett az irányítást. Erre, és a többi hibára azt követően találtak rá, hogy a múlt hónapban felfedezett rések után alaposabb vizsgálatnak vetették alá az alkalmazás forráskódját.

Derek Robert Price, a CVS Project karbantartásáért felelős személyek egyike arra hívta fel a figyelmet, hogy nagyon kockázatos a fejlesztők számára, ha az Internetről direkt hozzáférhetővé teszik programsoraikat. Ehelyett azt javasolta a szakember, hogy csak helyi hálózatokon, vagy virtuális magánhálózatokon (VPN) keresztül osszák meg a fejlesztési munkákat. ˝Mindig is mondtuk, hogy a CVS nem biztonságos, efelől soha semmi kétséget nem hagytunk.˝ – közölte Price.

Számos nagy, nyíltforrású projekteken dolgozó csapat használja a CVS-t olyan szerverek fenntartására, melyek segítségével karban lehet tartani az adott alkalmazások különböző verzióit a programfejlesztés során. Ilyen csapatot alkotnak például a Gnome és a KDE linuxos grafikus kezelői felületet készítő fejlesztői, de a CVS-t használja az Apache webszerverért felelős csoport és a nagyobb Linux disztribútorok is. Ezeket a fejlesztőket már május 28-án értesítették, míg a nyilvánosságot csak most szerdán szembesítették a tényekkel.