Kritische Sicherheitslücke in CVS

Angreifer können unter Umständen Root-Rechte erlangen

Eine kritische Sicherheitslücke im Concurrent Versions System (CVS) hat Stefan Esser von der Firma e-matters entdeckt. CVS wird in der Softwareentwicklung zur Verwaltung von Quelltexten eingesetzt und ist insbesondere im Open-Source-Umfeld das dominierende System. CVS bis zur Version 1.11.4 erlaubt es Angreifern unter Umständen eigenen Code auf einem entsprechenden Server auszuführen.

Anzeige

Betroffen von der Sicherheitslücke, die an einer fehlerhaften Behandlung von Verzeichnis-Requests liegt, sind Linux-, Solaris-, BSD- und, so Esser, mit größter Wahrscheinlichkeit auch Windows-Systeme. Ihm gelang es, ein entsprechendes Programm zu schreiben, das unter Ausnutzung der Sicherheitslücke Shell-Kommandos auf einem BSD-Server ausführt. Dieses wird e-matters allerdings nicht veröffentlichen.

Wie schwerwiegend die Sicherheitslücke ist, hängt allerdings von der Konfiguration des Servers ab, unter Umständen lassen sich Root-Rechte auf einem so angreifbaren Server erlangen. Besonders kritisch ist dieses Problem für Open-Source-Projekte, da diese oft einen anonymen CVS-Zugriff erlauben.

Allerdings existiert mittlerweile eine fehlerbereinigte CVS-Version, die unter ccvs.cvshome.org/servlets/ProjectDownloadList heruntergeladen werden kann. Betreiber großer CVS-Server wurden vorab über die Problematik informiert.

Kommentarübersicht
Re: Kritische Sicherheitslücke in CVS
Sturmkind 22. Jan 2003

Hallo Alex, ja Tolleranz ist für mich sehr wichtig das stimmt. Allerdings sehe ich auch...

Re: Kritische Sicherheitslücke in CVS
AlexParaglide 22. Jan 2003

Hi, +++++++++ Das Problem dabei ist nur das zwar bei Opensource Software das ganze...

Re: Kritische Sicherheitslücke in CVS
Sturmkind 22. Jan 2003

Das Problem dabei ist nur das zwar bei Opensource Software das ganze innerhalb kürzester...

Re: Kritische Sicherheitslücke in CVS
megaimmi 22. Jan 2003

hi, wenn das ms gemacht haette, dann haettest du fuer die software ne mindestens...

Re: Kritische Sicherheitslücke in CVS
C.Keck 21. Jan 2003

Abwarten. Es wird so lange nicht dauern, bis das Kommentieren in der Form Das waere...

Kommentieren

Trackbacks
Anzeige
Stellenmarkt
  1. Elektrotechniker/in oder Informatiker/in
    Polizeipräsidium Westhessen, Wiesbaden
  2. Mitarbeiter (m/w) im IT-Anwendungsmanagement
    Vitos GmbH, Eltville
  3. IT-Supporter/in
    MEDIENGRUPPE KLAMBT, Hamburg
  4. Software-Ingenieur (m/w) DMS / Archivierung
    Stadtwerke München GmbH, München

 

Detailsuche

Folgen Sie uns
       
Videos
Ghost Recon Future Soldier - Trailer (Launch) Ghost Recon Future Soldier - Trailer (Launch)
Meistgelesen
  1. Tinkerforge im Test

    Elektronik zum Stapeln
  2. Diablo 3

    Höllischer Bug und harmlose Hardwareanforderungen
  3. Diablo 3

    Blizzards Server seit Stunden kaum erreichbar
  4. Forbes-Magazin

    Steve Ballmer macht Microsoft zu einem zweiten RIM
  5. Kepler GK110

    Größter Chip der Welt mit 7 Mrd. Transistoren und Hyper-Q
Meistkommentiert
  1. Raumfahrt: Enterprise soll sich in 20 Jahren bauen lassen

    Kommentare: 325 | letzter Beitrag 19:26 Uhr

  2. Diablo 3: Blizzard über die Starter Edition und Grafikfilter

    Kommentare: 214 | letzter Beitrag 07:00 Uhr

  3. Diablo 3: Blizzards Server seit Stunden kaum erreichbar

    Kommentare: 171 | letzter Beitrag 19:34 Uhr

  4. Diablo 3: Shoppingcenter statt Sanktuario

    Kommentare: 115 | letzter Beitrag 13:09 Uhr

  5. Forbes-Magazin: Steve Ballmer macht Microsoft zu einem zweiten RIM

    Kommentare: 111 | letzter Beitrag 21:22 Uhr

Mehr

Ticker
  1. Verbraucherschützer

    Facebook soll Geld aus Börsengang für Kundendienst nutzen

  2. Bundesinnenministerium

    Weniger Straftaten im Internet

  3. Displayserver

    X.org soll neue API bekommen

  4. Facebook, Wikis und Blogs

    Social-Media-Leitfaden für Bundeswehrangehörige

  5. Raumfahrt

    Nasa bereitet bemannte Mission zu einem Asteroiden vor

  6. Oracle gegen Google

    Oracle könnte fast leer ausgehen

  7. Mobilfunk

    Fast jedes dritte Handy in Deutschland ist ein Smartphone

  8. Gaming-PC

    MSIs Norris Edition kommt ohne Chuck

  9. Navigon für Android

    Navigationsanwendung ist fit fürs Galaxy Nexus

  10. Forbes-Magazin

    Steve Ballmer macht Microsoft zu einem zweiten RIM

Newsletter-Abo
Haben wir etwas übersehen?

E-Mail an news@golem.de

iPad
7,85 Zoll: Angeblich iPad Mini mit flachem Touchdisplay geplant
7,85 Zoll
Angeblich iPad Mini mit flachem Touchdisplay geplant

Apple soll Zuliefererkreisen zufolge ein kleineres iPad mit 7,85 Zoll großem Bildschirm planen, das noch 2012 auf den Markt kommen soll. Das kleine Modell soll mit einem G/F2-Dünnfilm-Touchscreen ausgestattet werden, der kostengünstigere Geräte ermöglicht und so gegen Android-Tablets positioniert werden kann.

  1. Aluhülle iPad mutiert zum Macbook Air
  2. iPad-Tastatur Logitech stellt Ultrathin Keyboard Cover vor
  3. Projekt Blue Tiger Druckempfindlicher Stift fürs iPad
Cloud Computing
Cloud-Speicher: Fraunhofer-Forscher warnen vor Dropbox & Co.
Cloud-Speicher
Fraunhofer-Forscher warnen vor Dropbox & Co.

Cloud-Speicherdienste bieten oft eine unzureichende Sicherheit. Zu diesem Ergebnis kommt das Fraunhofer-Institut für sichere Informationstechnologie, das die Dienste Dropbox, Cloudme, Crashplan, Mozy, Teamdrive, Ubuntu One und Wuala getestet hat.

  1. Multimediainhalte LG startet Cloud für TV, PC und Smartphone
  2. Der Bund und die Cloud "Bürgerdaten sind ein Schatz"
  3. Firebase Cloud-Dienst für Echtzeitinformationen
Security
Sicherheitssoftware: Avira-Update legt Windows lahm - Patch erschienen
Sicherheitssoftware
Avira-Update legt Windows lahm - Patch erschienen

Avira hat gestern für mehrere kostenpflichtige Sicherheitsanwendungen ein fehlerhaftes Service Pack veröffentlicht. Als Folge davon funktionieren viele Anwendungen nicht und Windows startet nicht einwandfrei. Mittlerweile ist ein Patch erschienen.

  1. Twitter 55.000 Nutzerkonten gehackt, Staatsanwalt ausgeladen
  2. Sicherheit Microsoft bringt zweiten Patch zur Duqu-Abwehr
  3. The Unknowns Nasa und Esa bestätigen Einbrüche in ihre Systeme
Forumsbeiträge »
  1. Forbes-Magazin Steve Ballmer macht Microsoft zu einem zweiten RIM

    Re: normale Menschen und Apple

    /mecki78 | 21:46

  2. Smartphones Fast 2,5-mal mehr Android-Smartphones als iPhones verkauft

    Re: VW verkauft mehr Fahrzeuge als BMW den 320d

    neocron | 21:37

  3. Forbes-Magazin Steve Ballmer macht Microsoft zu einem zweiten RIM

    Re: hängt dann Wohl oder Übelvon Windows 8 ab...

    michi5579 | 21:32

  4. Tesla K10 Kepler mal zwei mit schnellem Speicher

    Re: Zile der Kaufinteressieren --> Neureiche ?

    Wertzuasdf | 21:24

  5. Freier Videoeditor Kdenlive 0.9 mit verbessertem Effektmanagement

    Macports

    McNoise | 21:24

Ticker »
  1. Verbraucherschützer Facebook soll Geld aus Börsengang für Kundendienst nutzen

    20:45

  2. Bundesinnenministerium Weniger Straftaten im Internet

    18:20

  3. Displayserver X.org soll neue API bekommen

    17:13

  4. Facebook, Wikis und Blogs Social-Media-Leitfaden für Bundeswehrangehörige

    16:52

  5. Raumfahrt Nasa bereitet bemannte Mission zu einem Asteroiden vor

    16:22

  6. Oracle gegen Google Oracle könnte fast leer ausgehen

    16:02

  7. Mobilfunk Fast jedes dritte Handy in Deutschland ist ein Smartphone

    15:55

  8. Gaming-PC MSIs Norris Edition kommt ohne Chuck

    15:49

Zum Artikel