开放源代码存储程序有漏洞

2004年5月19日，一个名叫Stefan Esser的安全研究人员表示，在两种非常流行的源代码存储程序中存在漏洞，它将可能允许攻击者访问并可能毁坏整个开放源代码软件。其中一个漏洞会影响一致性版本系统（CVS，Concurrent Versions System，这是一种开放源代码的版本控制软件），这是一个被许多研发者用于存储程序代码的应用程序。另一个漏洞将影响一个较新的、还没有广泛使用的被称作Subversion的系统。

特别是CVS软件被许多大型的开放源代码项目用来创建服务器以维护正在研发的程序版本。研发Gnome和KDE Linux桌面系统、Apache网页服务器以及大型的Linux发行套件的团体都是使用服务器来管理源代码数据库的。

一家德国的软件公司e-Matters的首席安全和技术主管Esser表示，在五月份的早些时候就已经通知这些团体，系统存在安全问题，并且已经安装了补丁程序。

“真正的大的项目常常使用CVS，服务器只是一个发行通道，”Esser在一份电子邮件调查中强调，那些大型的研发公司使用的用于保存源代码的服务器通常只有通过安全连接才能访问，“然而，有很多小的开放源代码项目是在有漏洞的服务器上进行研发的。”他补充道。

根据Esser发出的一份警告表示，CVS的使用范围远比Subversion要广泛，其中的漏洞会影响在5月19日以前发行的软件的所有版本。这个漏洞在技术上被大家称为“堆积溢位（heap overflow）”，之所以会发生是由于没有足够仔细的诊断来自系统用户的数据。CVS项目和大型的Linux和BSD发行套件已经对这个问题发布了相应的报告。

作为CVS应用程序的一个改写版本Subversion中的漏洞更容易被利用，Esser表示。这个漏洞是由于代码解析日期产生的错误的。根据Esser的报告，这个漏洞能利用“在Subversion服务器上远程执行代码，并且因此会导致危及存储的安全。”

Esser表示，“CVS的漏洞很难被滥用。”

源代码数据库漏洞不是第一次引起引起研发人员的担心。去年，在CVS软件中发现的漏洞是入侵者以提升其自身的优先级的方式对研发服务器形成的攻击。这个漏洞导致了一定的危害。

攻击者开始越来越多的将注意力集中于运行在Linux系统上的软件，Linux操作系统大多数情况下常常使用CVS。在3月份和4月份，位于学院超级计算中心的Linux和Solaris服务器受到了未知入侵者的攻击。

Samba项目是一个用于维护与微软的Windows网络集成在一起的文件服务器软件，它使用了Subversion。Esser指出，在其公开发行之前，就已经有人向该项目的研发者警告过它的安全问题。（Subversion系统试图改进CVS应用程序的可用性和安全性。）

CVS的发行经理Derek Price和Esser一起向共享安全信息的提供商委员会的成员、以及主要的开放源代码项目的公司发送了漏洞通知。Esser还与这个应用的其他大的用户包括SourceForge，XFree86，免费软件基金会以及PHP团体进行了联系。

“对于这个特定的问题，是与其他提供商同步发布的。”Price表示，“我确信还有其他的团体没有包括在内，这是我发布这个公告的目的。”

Linux的一个大的发行套件——Debian项目，在5月19日也就是在e-Matter发出警告的同时，在一份报告中为CVS软件发行了一个补丁。

Martin Schulze作为一个研发人员同时也是Debian项目的成员表示，他认为对于CVS漏洞陷造成的威胁应该予以限制。

“如果他们正在使用补丁，对于其他项目来说影响应该很小。”Schulze表示，“如果他们没有使用补丁，就有可能利用CVS服务器并获得访问机器的权限——虽然这只是一个普通的用户而不是根用户。”