CVSサーバに危険なセキュリティホール
タレコミ by Anonymous Coward
あるAnonymous Coward 曰く、
1.12.8/1.11.16 未満のバージョンのpserverを使うCVSサーバに、セキュリティ ホールが 発見 された。すでに、それを利用した攻撃コードも一般に公開 されており、これを使えば、任意のコードをサーバに対して実行 できてしまう。
この穴は、pserverのログイン名とパスワードがないと利用できないとはいえ、 多くのオープンソースのCVSサーバは、anonymousアカウントと空パスワード を一般利用者向けに提供しており、googleでpserverで検索すると 続々と見付かってしまう(すでにこれは上記のページで指摘されている)。
危険性は大きく、緊急に対処する必要がある。すでに幾つかのCVSサーバにて、 rootkitが仕込まれたという情報もあり、また、著名なオープンソースの 開発サーバが実際に閉鎖している。
関係者にこのセキュリティホールが知らされたのが5月2日。 その後、慎重な対処の後に、一般公開されたのが5月19日で、そろそろ 多くのCVSサーバが対応している頃だが、まだの所もあるだろう。急いで 更新するか、またはいっそのこと、FSFがやっているように、pserverから、 空パスワードのsshに乗り換える手もある。