CERT 勧告、CVS に脆弱性

CERT/CC は先ごろ、バージョン管理システム『CVS』に脆弱性があるとセキュリティ勧告を発表した。読み出しのみの権限でアクセスした攻撃者が、任意のプログラム実行、プログラムの挙動の変更、情報の読み出し、あるいはサービス不能化攻撃を実施できるという。

またソースコード リポジトリを改変できることから、攻撃対象の CVS サーバーが管理するプログラムに、トロイの木馬やバックドアなどの不正コードを、攻撃者が仕掛ける可能性もありうる。今回の脆弱性は、特別に細工した一連のディレクトリ要求によって発現する。

CVS を開発している『CVS Home』プロジェクトでは、すでに対策版の『CVS 1.11.5』を出しており、あわせて各 OS ベンダーとも対応が進んでいる。CERT は CVS ユーザーに対し、各ディストリビュータが指定した適切な修正プログラムやアップグレードを施すよう勧めている。今回の脆弱性は、ドイツのセキュリティ会社 e-matters の Stefan Esser 氏が報告したもの。

Twitter	iPhoneアプリ / iPadアプリ		Androidアプリ
Facebook	RSS	ニュースメール