ITmedia NEWS >

CVSに新たな脆弱性

» 2004年06月10日 08時46分 公開
[ITmedia]

 オープンソースのバージョン管理ソフトCVS(Concurrent Versions System)に新たな脆弱性が見つかったとして、セキュリティ企業のe-mattersが6月9日、アドバイザリーを公表した。

 影響を受けるCVSは、1.12.8までのFeature版と1.11.16までのStable版。リモートからCVSサーバが乗っ取られる恐れもあるとして、e-mattersでは深刻度を「重大」と評価している。

 CVSでは5月にも脆弱性が発見され、その数日後にはCVSを提供していた「karin.namazu.org」など、Namazu Projectのサーバが不正侵入を受けている。

 e-mattersのアドバイザリーによれば、cvshome.orgがハッキングされた事件を調べている過程で、CVSの脆弱性修正パッチに問題があることが発覚。CVSのコードベースをさらに詳しく調べた結果、複数の問題が見つかった。

 これらの脆弱性を突かれると、システムがクラッシュしたり任意のコードを実行される可能性がある。特に、CVSの「double-free()」機能に存在する脆弱性は、複数のLinuxシステムで実際に悪用されているという。

 e-mattersでは回避策として、直ちに新バージョンにアップグレードするよう勧告している。

Copyright © ITmedia, Inc. All Rights Reserved.