开发人员用以存储程序代码的两个流行应用程序的漏洞有可能成为黑客进行开放资源项目攻击的通道,一个安全调查员星期三说到。
其中一个漏洞将影响并发版本系统(CVS,Concurrent Versions System),这是一个被许多开发人员用来存储程序代码的应用程序。另一个漏洞将Subversion系统广泛使用的新系统。一位发现安全漏洞的调查员Stefan Esser提到。
特别是CVS软件被许多大型开放式资源库运行以建立维持程序版本的服务器。开发Gnome和 KDE Linux桌面系统,Apache Web服务器和大型Linux发布的组织都是这些使用开放式代码数据库的组成部分。
这些组织在五月上旬就因安全问题得到了通知,并且已经安装补丁软件。德国一家软件公司e-Matters的安全和技术办公室主任Esser说到。
“大型项目使用CVS有点像一条分配通道,” Esser在一次访问中说到,并提到开发人员用来存放源代码的服务器通常只有通过安全连接的情况下才获得进入许可。“然而,很多小型的开放源代码工程都在易受攻击的服务器上运行他们的项目。”他补充说到。
根据Esser发布的警告,比Subversion运用更广泛的CVS的缺点将影响5月19号之前发布的所有软件版本。这种缺陷,技术上常称为“堆积溢出(heap overflow)”,它的出现是因为系统用户的数据不能被足够仔细的审查。CVS Project和主要的Linux 以及BSD Distribution已经在这个问题是提出了建议。
Esser说到,一个CVS应用程序的改写程序,即Subversion中的漏洞更容易被充分利用。这种易受攻击的原因是由代码分析日期方式中的一个错误引起的。它可以被利用以使得“在Subversion服务器上执行远距离代码操作,因此能导致数据库的破坏。”据Esser的建议所说。
资源数据库的漏洞并不是第一次引起开发人员的担心。去年,在CVS软件中的一个漏洞导致开发服务器被受攻击,这是因为闯入者进入服务器后提高了自己的权限引起的,这个漏洞导致不同程度的破坏。
黑客逐渐开始关注着Linux中运行的软件和使用CVS的操作系统。在三月和四月,超级计算机学术中心的Linux和Solaris服务器被不知名的破坏者入侵并遭受破坏。
维护集成在微软Windows网络的文件服务器软件Samba Project使用了Subversion。但是,项目开发者在项目公开之前就被警告过安全问题,Esser特别提到。(Subversion系统企图提高CVS应用程序的可行性和安全性。)
CVS发布经理Derek Price和Esser给Vendor-Sec成员公示了一个易损性公告,Vendor-Sec是一个享受安全信息的开放式资源项目集团。Esser也与其它大型应用程序使用者取得了联系,包括SourceForge, XFree86, 自由软件基金会(Free Software Foundation)和PHP Group。
Linux主要的发行套件Debian Project在星期三为CVS软件发布了一个补丁文件,这一发布与e-Matter的警告同时进行的。
Debian Project成员及开发人员Martin Schulze说到,他们认为CVS漏洞造成的危险是可以被限制的。
“CVS漏洞对其它项目的影响应该是很少,如果他们使用这一非常简单的补丁文件,” Schulze说,“如果他们不使用补丁,极有可能导致CVS服务器被攻击,并获得机器的访问。然而,这只是普通用户的情况,对于服务器,一般是不会出现这种情况。”
