パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

CVSに新たに6つの脆弱性」記事へのコメント

  • by Anonymous Coward on 2004年06月10日 19時51分 (#567262)

    前回は確かにpserverの問題だったんで、anonymous CVSさえ止めれば問題ないと思うけど、今回もpserver絡みなの? CVS本体の話なら、anonymous CVS via sshで経路を暗号化したところで意味はないと思うんだが。

    SecurityFocusの記事見ても良く判らないんで詳しい人解説プリーズ。

    • SecurityFocusによれば、pserverをとめて、chroot over SSHで
      動かせと書いていありますね。


      Recommendation:

            Recommended is an immediate update to the new version. Additionally you
            should consider running your CVS server chrooted over SSH instead of
            using the :pserver: method. You can find a tutorial how to setup such a
            server at
           
            http://www.netsys.com/library/papers/chrooted-ssh-cvs-server.txt
      --
      romfffromのコメント設定
      AC-2、プラスモデ+3、閾値0、スコアを表示しない(推奨)、高い評価のコメントを親にする
      親コメント
    • by Anonymous Coward on 2004年06月11日 2時09分 (#567474)
      SSH経由にすれば、待ち受けるのはpserverではなくsshdです。CVSが待ち受けすることがないので、セキュリティホールがいくつあろうが、アカウントが無ければたどりつけませんから、アカウント持ちに変な人がいなければ大丈夫でしょう。
      親コメント
      • by uchida-t (14803) on 2004年06月11日 13時44分 (#567734)

        anoncvs over sshが最近は一般的になりつつあります。savannah.gnu.orgはanoncvs over sshしかありませんし、sourceforgeでもpserver以外にもanoncvs over sshに対応しています。

        アカウントがなければ云々というのは、いまや的外れでしょう。

        親コメント

※ただしPHPを除く -- あるAdmin

処理中...