Open Source ohrožen hackery

Platforma Concurrent Version System používaná vývojáři open source projektů k vzdálenému vylepšování a správě zdrojových kódů aplikací obsahuje kritickou bezpečnostní chybu.
Vývoj Open Source aplikací probíhá ve většině případů spoluprací programátorů, kteří nejsou v osobním kontaktu. Aplikace Concurrent Verison System jim pak umožňuje vzdálenou spolupráci a zajišťuje, aby se při zasílání updatů od jednotlivých vývojářů nepřepisovaly změny učiněné ostatními. Bez podobného software je vývoj na dálku velice komplikovaný. Nyní je však důvěra v CVS ohrožena a nebezpečí mohou skrývat i některé Open Source aplikace.

Bezpečnostní díra zveřejněná organizací CERT (Computer Emergency Response Team) umožňuje útočníkovi získat kontrolu nad CVS serverem a dává tak hackerům přístup a možnost měnit zdrojové kódy ve fázi vývoje uložené na serveru. To znamená, že aplikace, při jejichž vývoji byl CVS použit, mohou obsahovat zadní vrátka, trojské koně nebo podobné hrozby pro uživatele. Chyba se týká CVS verze 1.11.4 a nižších.

Chybu odhalil Stefan Esser ze společnosti E-Matters na počátku ledna při kontrole zdrojového kódu CVS. Součástí zprávy o chybě je také doporučení upgradovat na novou verzi CVS či aplikovat patch vytvořený autorem zprávy. Veřejné oznámení o chybě bylo zdrženo až do dneška, aby měli administrátoři CVS serverů dost času na nápravu. Mezi největší uživatele CVS patří Sourceforge.net, který pomocí tohoto software spravuje zdrojové kódy více než 55 000 Open Source projektů. Paradoxem je, že CVS používá k vývoji nových verzí i samotný Concurrence Version System. Společnost E-matters nepředpokládá, že by chybu v CVS odhalil někdo před nimi a rozhodně nehodlá dát k dispozici konkrétní postup pro její zneužití.

Diskuze (19) Další článek: MS zapomněl přidat důležitou opravu do SP1 pro XPčka

Témata článku: Software, Open source, Doporučená verze, Emergency, Cert, Největší nebezpečí, Paradox

Určitě si přečtěte


Aktuální číslo časopisu Computer

Zachraňte nefunkční Windows

Jak nakupovat a prodávat kryptoměny

Otestovali jsme konvertibilní notebooky

Velký test 14 herních myší