安全研究人员已经发现,在公开源代码世界最流行的程序中至少有6个以上的缺陷,这些程序用于软件开发中的代码维护。
据检查程序(一致性版本系统 Concurrent VersionsSystemCVS)的项目代表称,被发现的缺陷中含有可让攻击者从互联网上控制CVS服务器的漏洞。在上月宣布发现类似问题之后,研究人员对程序代码进行了分析,结果发现了这些缺陷。
被发现的安全缺陷突出地强调了CVS项目领导人提出建议的重要性,他们说,开发团队不应当把源代码知识库直接放在网上。反之,CVS项目三个维护人之一和项目发布管理人Price说,有关知识库应当只能通过私人局域网和虚拟私人网络(VPN)才能利用。
他指出,我们总是说CVS并不安全,对此问题我们的态度一直是坚决的。
主要公开源代码项目,包括阿帕奇基金的阿帕奇网络服务器和GNONE和KDELinux桌面系统,都采用一致性版本系统来管理开发中的软件。这个软件可以让程序员核对代码的修改,并且追踪程序开发中的不同版本。
5月28日采用该程序的主要项目都收到了缺陷通知,在周三(6月9日)公开发布了安全漏洞。
这些安全缺陷的大部分是两名开放源代码研究人员发现的,发现时间是在五月份先前缺陷的补丁程序发布之后。一名叫Esser的研究者还发现了过去的安全缺陷。当在线攻击者利用从前漏洞试图控制CVS项目服务器和发送已获控制权的电邮时,缺陷会变得更加严重。Price指出,CVS项目已经关闭了几台服务器并打算分析文件中被攻击的证据。
Linux销售商已经发布了修复问题的升级程序。其他使用该软件的Linux分销商也有望在本周发布升级程序。
|
