CVSとSubversionに重大な脆弱性

[ITmedia]

　オープンソースのファイル管理システム、CVSとSubversionに脆弱性が見つかったとして、セキュリティ企業のe-mattersは5月19日、2件のアドバイザリーを発行した。どちらの危険度も「重大」と評価している。

　脆弱性が含まれるCVSは、1.11.15以前のStable版と1.12.7以前のFeature版。CVSの入力ラインに修正フラグを入れるか、それとも修正しないフラグをアタッチするかを判断する際の脆弱性で、ヒープオーバーフローを招く恐れがあるという。これを突かれるとCVSサーバ上で任意のコードを実行されてしまう。e-mattersは、直ちに新版をインストールするよう推奨している。

　Subversionの脆弱性は日付を解析する過程に含まれ、バージョン1.0.2までが影響を受ける。Subversionサーバ上でリモートからコードを実行され、リポジトリを改ざんされる恐れがある。この脆弱性は、防御が十分ではないサーバに対しては初心者でも簡単に突くことができるため、e-mattersはアップデートを強く勧めている。