Sebezhetőségek miatt vannak veszélyben a nyíltforrású projektek

Még szerdán jelentette be Stefan Esser biztonságkutató, hogy két sérülékenység nyomára bukkant. Az egyiket a Concurrent Versions System (CVS) nevű alkalmazásban találta, melyet sok fejlesztő programkódok tárolására használ. A másikat pedig az újabb, az előbbihez képest kevésbé elterjedt Subversion nevű rendszerben fedezte fel Esser, aki egyébként a német e-Matters cég egyik vezető alkalmazottja.

Komolyabbnak tűnik a CVS-t érintő hiba, mivel ezt számos nagy, nyíltforrású projekteken dolgozó csapat használja olyan szerverek fenntartására, melyek segítségével karban lehet tartani az adott alkalmazások különböző verzióit a programfejlesztés során. Ilyen csapatot alkotnak például a Gnome és a KDE linuxos grafikus kezelői felületet készítő fejlesztői, de a CVS-t használja az Apache webszerverért felelős csoport és a nagyobb Linux disztribútorok is. Esser elmondta, hogy ezeket a fejlesztőket már május elején értesítették, így ők felvértezhették magukat a szükséges patch-ekkel.

˝Az igazán nagy projektek általában a CVS szervereket csak terjesztési csatornaként alkalmazzák. Sok kicsi, nyíltforrású projekten dolgozó csapat azonban az egész fejlesztését ilyen, sebezhető szervereken futtatja.˝ – jegyezte meg Esser, aki azt is elmondta, a CVS-ben található biztonsági rés minden, május 19-e előtt kiadott változatot érint. Maga a sérülékenység egy úgynevezett heap overflow hiba, ami abból származik, hogy a rendszerfelhasználóktól érkező adatokat nem megfelelő gondossággal vizsgálja meg a szoftver.

A CVS újraírt változatában, a Subversionben levő lyuk sokkal könnyebben kiaknázható, mondta a kutató (ebből a szempontból nézve szerencse, hogy kevésbé terjedt el a szoftver alkalmazása). A sebezhetőség oka az, hogy a rendszer nem megfelelően ellenőrzi a dátumokat, ezért ennek kihasználásával előidézhető a hiba. Ennek következménye pedig akár távolról való, illetéktelen kód futtatása is lehet, árulta el Esser.