Open Source ohrožen hackery

Platforma Concurrent Version System používaná vývojáři open source projektů k vzdálenému vylepšování a správě zdrojových kódů aplikací obsahuje kritickou bezpečnostní chybu.
Vývoj Open Source aplikací probíhá ve většině případů spoluprací programátorů, kteří nejsou v osobním kontaktu. Aplikace Concurrent Verison System jim pak umožňuje vzdálenou spolupráci a zajišťuje, aby se při zasílání updatů od jednotlivých vývojářů nepřepisovaly změny učiněné ostatními. Bez podobného software je vývoj na dálku velice komplikovaný. Nyní je však důvěra v CVS ohrožena a nebezpečí mohou skrývat i některé Open Source aplikace.

Bezpečnostní díra zveřejněná organizací CERT (Computer Emergency Response Team) umožňuje útočníkovi získat kontrolu nad CVS serverem a dává tak hackerům přístup a možnost měnit zdrojové kódy ve fázi vývoje uložené na serveru. To znamená, že aplikace, při jejichž vývoji byl CVS použit, mohou obsahovat zadní vrátka, trojské koně nebo podobné hrozby pro uživatele. Chyba se týká CVS verze 1.11.4 a nižších.

Chybu odhalil Stefan Esser ze společnosti E-Matters na počátku ledna při kontrole zdrojového kódu CVS. Součástí zprávy o chybě je také doporučení upgradovat na novou verzi CVS či aplikovat patch vytvořený autorem zprávy. Veřejné oznámení o chybě bylo zdrženo až do dneška, aby měli administrátoři CVS serverů dost času na nápravu. Mezi největší uživatele CVS patří Sourceforge.net, který pomocí tohoto software spravuje zdrojové kódy více než 55 000 Open Source projektů. Paradoxem je, že CVS používá k vývoji nových verzí i samotný Concurrence Version System. Společnost E-matters nepředpokládá, že by chybu v CVS odhalil někdo před nimi a rozhodně nehodlá dát k dispozici konkrétní postup pro její zneužití.

Diskuze (19) Další článek: MS zapomněl přidat důležitou opravu do SP1 pro XPčka

Témata článku: Software, Open source, Emergency, Doporučená verze, Paradox, Cert, Největší nebezpečí


Určitě si přečtěte

Porno insider: Jak virtuální realita vstupuje do filmů pro dospělé

Porno insider: Jak virtuální realita vstupuje do filmů pro dospělé

** Pornografie údajně představuje třetinu internetové obsahu a je technologický tahounem ** Do erotického obsahu postupně zasahuje i virtuální realita ** Kromě vizuálního vjemu se pracuje také na virtuálním uspokojení toho hmatového

Jan Dudek | 28

Budoucnost elektroniky: čeští vědci stojí za revolučním čipem, který nemá ve světě obdoby

Budoucnost elektroniky: čeští vědci stojí za revolučním čipem, který nemá ve světě obdoby

** Čeští vědci pod vedením Tomáše Jungwirtha vyvíjí nový typ revolučního paměťového čipu ** Zatímco v současnosti elektronika pracuje s elektrony, v budoucnu to budou spiny elektronů ** Čipy budou moci být klidně i 1 000x rychlejší a úspornější

Karel Javůrek | 32

Apple dal do MacBooku procesor Core i9 a 4TB SSD. Ani se neptejte, co za to chce...

Apple dal do MacBooku procesor Core i9 a 4TB SSD. Ani se neptejte, co za to chce...

** Apple aktualizoval notebooky MacBook Pro, dostaly nový hardware ** Těšit se můžete na nové procesory a větší paměť ** Cena nejvybavenějšího modelu překročí 200 tisíc korun

Martin Miksa | 99

Nová zbraň Microsoftu proti iPadu: Levný tablet Surface Go bude stát jen deset tisíc

Nová zbraň Microsoftu proti iPadu: Levný tablet Surface Go bude stát jen deset tisíc

** Microsoft představil nový tablet Surface Go ** Nový model zaujme nízkou cenou, ale schopnostmi zařízení Surface ** Microsoft nepoužil čip ARM, ale klasický procesor od Intelu 

Karel Javůrek | 116


Aktuální číslo časopisu Computer

Velký test 18 bezdrátových sluchátek

Vše o přechodu na DVB-T2

Procesory AMD opět porážejí Intel

7 NVMe M.2 SSD v přímém souboji