パスワードを忘れた? アカウント作成
8342 story

CVSに新たに6つの脆弱性 41

ストーリー by yoosee
安全性を見つめ直す機会に 部門より

Anal Cunt 曰く、 "セキュリティ企業の e-matters から CVS の新たな脆弱性発見が勧告された(参考: SecurityFocus の勧告ITmediaの記事CNETJapanの記事)。
今回の脆弱性は、前回発見された脆弱性を元にセキュリティ研究者が調査したところ、新たに6つの脆弱性が見つかったというもの。中にはリモートからCVSサーバが乗っ取られる可能性のあるものも含まれており、深刻度は「重大」となっている。1.12.8までのFeature版と1.11.16までのStable版が影響を受ける。直ちに新バージョンにアップグレードするべきでしょう。"

いっそ pserver を停止し、Anonymous CVS access via SSH なども検討すべきかもしれない。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by ribbon (11750) on 2004年06月10日 20時07分 (#567273) 日記
    pserver の利用も少ないことですし、止めました。
    セキュリティの基本の1つは、余計なものは動かさない、ですから。
  • Subversion [freshmeat.net]ってどうでしょうか?

    CVSのセキュリティホールがこれだけ、たくさん発見されて、
    サーバのっとられたという話しが続くと、他のソフトに移らないのか
    不思議に思うのですが、やはり、移行するとなると、たくさんの
    障害があるものなんでしょうか?
    --
    romfffromのコメント設定
    AC-2、プラスモデ+3、閾値0、スコアを表示しない(推奨)、高い評価のコメントを親にする
    • by Anonymous Coward on 2004年06月10日 20時49分 (#567311)
      そこでGNU Arch [gnuarch.org]ですよ。海外ではそこそこ使われているようで、SVNだけがポストCVSの有力候補という状況でもなさそうです。
      親コメント
      • Archはすごくいいと思うのだけど、
        リモートからチェックアウトすると、コミットもリモートへいっちゃうし、
        かといってリポジトリミラーするときには固定のディレクトリになんでも
        かんでも放りこまれてしまう。

        安心して使えるBitKeeperがあれば大満足なんだけどなぁ。。。
    • by Anonymous Coward on 2004年06月10日 20時18分 (#567284)
      どうでしょうも何もSubversionの方がより安全なんて保証はどこにもないわけですが。
      前回のは同様の穴がSubversionにもあったわけで。

      オープンソース・コード管理アプリ「CVS」と「Subversion」に脆弱性 [cnet.com]

      私的にはむしろ出来たばかりのソフトウェアの方が、セキュリティ的に心配です。
      親コメント
      • by 78K (13421) on 2004年06月10日 20時35分 (#567299) 日記
        記事をよく読んでもらえばわかりますが、前回の穴は CVS よりもむしろ Subversion の方が危険だったと思います。
        > 私的にはむしろ出来たばかりのソフトウェアの方が、セキュリティ的に心配です。
        同感。ローカルで使う分には構わないのですけどね。
        親コメント
        • なるほど、なるほど。
          やはり、CVSの方が古いだけに、安全性を考えれば、
          CVSという感じになるのですね。
          --
          romfffromのコメント設定
          AC-2、プラスモデ+3、閾値0、スコアを表示しない(推奨)、高い評価のコメントを親にする
          親コメント
          • by Anonymous Coward on 2004年06月10日 21時34分 (#567338)
            やけに安直ですな。

            CVSが書かれた頃とSubversionが書き始められた頃とではセキュリティに対する意識もぜんぜん変わっていると思うんだけど。

            Subversionの時代には、可変長と分かっているものに固定長バッファを割り当てたりというようなコードは最初から発想しなくなっていると信じたいなあ。

            実際俺もSubversionのコードを読んだりハックしたことがあるけど、見通しはとてもいいと思っているよ。
            親コメント
            • へ~そうなんですか。

              やはり、コードに対する考え方も変わってきてるから、
              一概に古い物の方がより安全とはいえないんですね。

              #考え方を振り回される初心者
              --
              romfffromのコメント設定
              AC-2、プラスモデ+3、閾値0、スコアを表示しない(推奨)、高い評価のコメントを親にする
              親コメント
              • by Anonymous Coward
                古くても、それが「問題が無いから変更されていない」のか、
                「問題があるかもチェックされていない」のか、
                「問題があるかもしれないけど、手をつけられない」のか、
                傍目からは簡単には解らないのでしょう。

                全部のソースコードを定期的に再チェックするなんてことを、
                個人で出来るなら別でしょうけど。

                CVSとかって「監査日」とか
                「再チ
            • by Anonymous Coward on 2004年06月11日 12時45分 (#567698)
              去年、初めてcvsのソースコードをまじまじと見たときは
              「こんなに使い古されてるのに、ここまで酷いコードがよく生き残ってるもんだなぁ」
              と関心したよ。
              ソースコード読める人が読んだらsubversionに移行したくなること請け合い。
              親コメント
          • Postfixやqmailよりsendmail の方が安心して使えるということですか。そうですか。
      • > 私的にはむしろ出来たばかりのソフトウェアの方が、セキュリティ的に心配です。

        出来たばかりでもないのに、いまだにセキュリティーホールが続出するような
        理解に苦しむソフトウェアに比べれば
        「未知数」であることの方がいくぶんましでしょうね

        IE6よりIE3の方が安心という発想はいかがなものか
    • Re:Subversionはどうでっか? (スコア:1, おもしろおかしい)

      by Anonymous Coward on 2004年06月10日 20時40分 (#567302)
      ここはやっぱりdjbcvsを。
      #最悪のケースでもSEGVまでで。
      親コメント
      • by yoosee (196) on 2004年06月10日 23時57分 (#567427) ホームページ 日記
        djb 様は複数人での code 開発なんてしないし、開発途中の不完全なコードを配布したりもしないから、そもそも cvs なんて必要としていない気がしますよ!

        # 断っときますがネタですよ

        どっちにしろ、こういった脆弱性が見つかりがちで、かつ不特定多数に公開するようなサービスは、chroot で影響範囲を絞ったり、必要のない機能を出来る限り殺したり、read-only なシステム上で動かしたり(tripwire仕掛けたり)、より安全な代替手段(今回の場合は pserver の代わりに over ssh など?)をさがすのも大事ですね。日々管理に勤しんだとしても、発表から対策までの空白が出来たりするわけだし。
        親コメント
    • by jmk (11245) on 2004年06月11日 19時22分 (#567946)
      もーいいかげんオフトピだし読まれてないかもしれませんが(ストーリー立つかな)、 subversion も 1.0.5 が出ました [tigris.org]ね。
      しかも security fix です。世の中、そうは問屋が下ろさないようですね。
      親コメント
    • ♪モテたくて、Subversionですよ!
      ♪モテたくて、PowerBookですよ!
      ♪モテたくて、intelとMicrosoftを叩きますよ!!
      ♪モテたくて、ローンで外車ですよ~~~~~~~~~~~~~~~!!

       
      Subversionにも、ちょくちょくセキュリティーホールが見付かっているので、
      やはり結局、脆弱性に関
      --

      _
      # CheapGbE!GbE!!TheKLF!KLF!!TheRMS!RMS!! And a meme sparks...
      • Subversionにも結構セキュリティホール見つかっている
        みたいですね。CVSとか使った事ないので、そういう
        事情に疎かったです。

        #しかし、あなたのカルマ凄いですね。
        #IDでモデ無しで見えない方は初めてです。
        #私はあなたのコメントは面白いと思いますよ。
        --
        romfffromのコメント設定
        AC-2、プラスモデ+3、閾値0、スコアを表示しない(推奨)、高い評価のコメントを親にする
        親コメント
        • >#しかし、あなたのカルマ凄いですね。
          >#IDでモデ無しで見えない方は初めてです。
          >#私はあなたのコメントは面白いと思いますよ。

          彼のコメントはほとんど情報がないものが圧倒的に多い。
          過去のコメントには目を通してみましたか?
          街中で
        • >#しかし、あなたのカルマ凄いですね。
          >#IDでモデ無しで見えない方は初めてです。

           こういう方もおられました [srad.jp]。

          #個人的には「なろうとしてなりきれてない」ように見えてしまうのだなぁ。
          #臆病な臆病者
  • by Anonymous Coward on 2004年06月10日 19時51分 (#567262)

    前回は確かにpserverの問題だったんで、anonymous CVSさえ止めれば問題ないと思うけど、今回もpserver絡みなの? CVS本体の話なら、anonymous CVS via sshで経路を暗号化したところで意味はないと思うんだが。

    SecurityFocusの記事見ても良く判らないんで詳しい人解説プリーズ。

    • SecurityFocusによれば、pserverをとめて、chroot over SSHで
      動かせと書いていありますね。


      Recommendation:

            Recommended is an immediate update to the new version. Additionally you
            should consider running your CVS server chrooted over SSH instead of
            using the :pserver: method. You can find a tutorial how to setup such a
            server at
           
            http://www.netsys.com/library/papers/chrooted-ssh-cvs-server.txt
      --
      romfffromのコメント設定
      AC-2、プラスモデ+3、閾値0、スコアを表示しない(推奨)、高い評価のコメントを親にする
      親コメント
    • by Anonymous Coward on 2004年06月11日 2時09分 (#567474)
      SSH経由にすれば、待ち受けるのはpserverではなくsshdです。CVSが待ち受けすることがないので、セキュリティホールがいくつあろうが、アカウントが無ければたどりつけませんから、アカウント持ちに変な人がいなければ大丈夫でしょう。
      親コメント
      • by uchida-t (14803) on 2004年06月11日 13時44分 (#567734)

        anoncvs over sshが最近は一般的になりつつあります。savannah.gnu.orgはanoncvs over sshしかありませんし、sourceforgeでもpserver以外にもanoncvs over sshに対応しています。

        アカウントがなければ云々というのは、いまや的外れでしょう。

        親コメント
typodupeerror

あつくて寝られない時はhackしろ! 386BSD(98)はそうやってつくられましたよ? -- あるハッカー

読み込み中...