ソースコード管理システム『CVS』に脆弱性

オープンソースの開発プロジェクトなどでも利用例の多いソースコード管理システム『Concurrent Versions System (CVS)』に先ごろ、ヒープオーバーフローの脆弱性が見つかった。

US-CERT のセキュリティ勧告によると、外部の攻撃者が同脆弱性を悪用し、任意のコードを実行するおそれがあるという。Secunia は、同脆弱性の危険度を、5段階中2番目に危険なレベルとしている。

問題は、CVS が「変更有り」「変更無し」といったフラグをエントリ行に挿入する処理にある。US-CERT によると、エントリ行を処理する際、フラグ用に1バイトあらかじめ確保済みかチェックできずに二重確保してしまう場合があり、1バイト分のオーバフローが生じるという。

同勧告では、「問題の部分を何度も呼び出し、エントリ行に特定の文字を挿入することにより、外部の攻撃者は、メモリ領域をある程度まとめて書き換えることができる。inetd を用いて、CVS サーバーを root 権限で起動するような運用環境は大いに危険だ」としている。

認証を通れば、同脆弱性を悪用することで、任意のコードやコマンドを実行したり、重要情報の改竄やサービス不能化攻撃を実行できる。

また、匿名ユーザーに読取り専用でアクセスを許している場合も、「cvspserver」を介した認証を行ない、攻撃を受けるおそれがあると警告している。「攻撃を受ければ、CVS を運用しているシステムが被害を受けるほか、攻撃者が CVS リポジトリ内のソースコードを改竄し、トロイの木馬やバックドアなどの悪意のあるコード仕込んで、重大な二次被害の起点となりかねない」という。

同脆弱性を修正した、CVS 1.12.8 と CVS 1.11.16 が、既に公開済みだ。