パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

CVSに新たに6つの脆弱性」記事へのコメント

  • Subversion [freshmeat.net]ってどうでしょうか?

    CVSのセキュリティホールがこれだけ、たくさん発見されて、
    サーバのっとられたという話しが続くと、他のソフトに移らないのか
    不思議に思うのですが、やはり、移行するとなると、たくさんの
    障害があるものなんでしょうか?
    --
    romfffromのコメント設定
    AC-2、プラスモデ+3、閾値0、スコアを表示しない(推奨)、高い評価のコメントを親にする
    • by Anonymous Coward on 2004年06月10日 20時49分 (#567311)
      そこでGNU Arch [gnuarch.org]ですよ。海外ではそこそこ使われているようで、SVNだけがポストCVSの有力候補という状況でもなさそうです。
      親コメント
      • Archはすごくいいと思うのだけど、
        リモートからチェックアウトすると、コミットもリモートへいっちゃうし、
        かといってリポジトリミラーするときには固定のディレクトリになんでも
        かんでも放りこまれてしまう。

        安心して使えるBitKeeperがあれば大満足なんだけどなぁ。。。
    • by Anonymous Coward on 2004年06月10日 20時18分 (#567284)
      どうでしょうも何もSubversionの方がより安全なんて保証はどこにもないわけですが。
      前回のは同様の穴がSubversionにもあったわけで。

      オープンソース・コード管理アプリ「CVS」と「Subversion」に脆弱性 [cnet.com]

      私的にはむしろ出来たばかりのソフトウェアの方が、セキュリティ的に心配です。
      親コメント
      • by 78K (13421) on 2004年06月10日 20時35分 (#567299) 日記
        記事をよく読んでもらえばわかりますが、前回の穴は CVS よりもむしろ Subversion の方が危険だったと思います。
        > 私的にはむしろ出来たばかりのソフトウェアの方が、セキュリティ的に心配です。
        同感。ローカルで使う分には構わないのですけどね。
        親コメント
        • なるほど、なるほど。
          やはり、CVSの方が古いだけに、安全性を考えれば、
          CVSという感じになるのですね。
          --
          romfffromのコメント設定
          AC-2、プラスモデ+3、閾値0、スコアを表示しない(推奨)、高い評価のコメントを親にする
          親コメント
          • by Anonymous Coward on 2004年06月10日 21時34分 (#567338)
            やけに安直ですな。

            CVSが書かれた頃とSubversionが書き始められた頃とではセキュリティに対する意識もぜんぜん変わっていると思うんだけど。

            Subversionの時代には、可変長と分かっているものに固定長バッファを割り当てたりというようなコードは最初から発想しなくなっていると信じたいなあ。

            実際俺もSubversionのコードを読んだりハックしたことがあるけど、見通しはとてもいいと思っているよ。
            親コメント
            • へ~そうなんですか。

              やはり、コードに対する考え方も変わってきてるから、
              一概に古い物の方がより安全とはいえないんですね。

              #考え方を振り回される初心者
              --
              romfffromのコメント設定
              AC-2、プラスモデ+3、閾値0、スコアを表示しない(推奨)、高い評価のコメントを親にする
              親コメント
              • by Anonymous Coward
                古くても、それが「問題が無いから変更されていない」のか、
                「問題があるかもチェックされていない」のか、
                「問題があるかもしれないけど、手をつけられない」のか、
                傍目からは簡単には解らないのでしょう。

                全部のソースコードを定期的に再チェックするなんてことを、
                個人で出来るなら別でしょうけど。

                CVSとかって「監査日」とか
                「再チ
            • by Anonymous Coward on 2004年06月11日 12時45分 (#567698)
              去年、初めてcvsのソースコードをまじまじと見たときは
              「こんなに使い古されてるのに、ここまで酷いコードがよく生き残ってるもんだなぁ」
              と関心したよ。
              ソースコード読める人が読んだらsubversionに移行したくなること請け合い。
              親コメント
          • Postfixやqmailよりsendmail の方が安心して使えるということですか。そうですか。
      • > 私的にはむしろ出来たばかりのソフトウェアの方が、セキュリティ的に心配です。

        出来たばかりでもないのに、いまだにセキュリティーホールが続出するような
        理解に苦しむソフトウェアに比べれば
        「未知数」であることの方がいくぶんましでしょうね

        IE6よりIE3の方が安心という発想はいかがなものか
    • Re:Subversionはどうでっか? (スコア:1, おもしろおかしい)

      by Anonymous Coward on 2004年06月10日 20時40分 (#567302)
      ここはやっぱりdjbcvsを。
      #最悪のケースでもSEGVまでで。
      親コメント
      • by yoosee (196) on 2004年06月10日 23時57分 (#567427) ホームページ 日記
        djb 様は複数人での code 開発なんてしないし、開発途中の不完全なコードを配布したりもしないから、そもそも cvs なんて必要としていない気がしますよ!

        # 断っときますがネタですよ

        どっちにしろ、こういった脆弱性が見つかりがちで、かつ不特定多数に公開するようなサービスは、chroot で影響範囲を絞ったり、必要のない機能を出来る限り殺したり、read-only なシステム上で動かしたり(tripwire仕掛けたり)、より安全な代替手段(今回の場合は pserver の代わりに over ssh など?)をさがすのも大事ですね。日々管理に勤しんだとしても、発表から対策までの空白が出来たりするわけだし。
        親コメント
    • by jmk (11245) on 2004年06月11日 19時22分 (#567946)
      もーいいかげんオフトピだし読まれてないかもしれませんが(ストーリー立つかな)、 subversion も 1.0.5 が出ました [tigris.org]ね。
      しかも security fix です。世の中、そうは問屋が下ろさないようですね。
      親コメント
    • ♪モテたくて、Subversionですよ!
      ♪モテたくて、PowerBookですよ!
      ♪モテたくて、intelとMicrosoftを叩きますよ!!
      ♪モテたくて、ローンで外車ですよ~~~~~~~~~~~~~~~!!

       
      Subversionにも、ちょくちょくセキュリティーホールが見付かっているので、
      やはり結局、脆弱性に関
      --

      _
      # CheapGbE!GbE!!TheKLF!KLF!!TheRMS!RMS!! And a meme sparks...
      • Subversionにも結構セキュリティホール見つかっている
        みたいですね。CVSとか使った事ないので、そういう
        事情に疎かったです。

        #しかし、あなたのカルマ凄いですね。
        #IDでモデ無しで見えない方は初めてです。
        #私はあなたのコメントは面白いと思いますよ。
        --
        romfffromのコメント設定
        AC-2、プラスモデ+3、閾値0、スコアを表示しない(推奨)、高い評価のコメントを親にする
        親コメント
        • >#しかし、あなたのカルマ凄いですね。
          >#IDでモデ無しで見えない方は初めてです。
          >#私はあなたのコメントは面白いと思いますよ。

          彼のコメントはほとんど情報がないものが圧倒的に多い。
          過去のコメントには目を通してみましたか?
          街中で
        • >#しかし、あなたのカルマ凄いですね。
          >#IDでモデ無しで見えない方は初めてです。

           こういう方もおられました [srad.jp]。

          #個人的には「なろうとしてなりきれてない」ように見えてしまうのだなぁ。
          #臆病な臆病者

アレゲは一日にしてならず -- アレゲ見習い

処理中...