• IT-Karriere:
  • Services:

Kritische Sicherheitslücke in CVS

Angreifer können unter Umständen Root-Rechte erlangen

Eine kritische Sicherheitslücke im Concurrent Versions System (CVS) hat Stefan Esser von der Firma e-matters entdeckt. CVS wird in der Softwareentwicklung zur Verwaltung von Quelltexten eingesetzt und ist insbesondere im Open-Source-Umfeld das dominierende System. CVS bis zur Version 1.11.4 erlaubt es Angreifern unter Umständen eigenen Code auf einem entsprechenden Server auszuführen.

Artikel veröffentlicht am ,

Betroffen von der Sicherheitslücke, die an einer fehlerhaften Behandlung von Verzeichnis-Requests liegt, sind Linux-, Solaris-, BSD- und, so Esser, mit größter Wahrscheinlichkeit auch Windows-Systeme. Ihm gelang es, ein entsprechendes Programm zu schreiben, das unter Ausnutzung der Sicherheitslücke Shell-Kommandos auf einem BSD-Server ausführt. Dieses wird e-matters allerdings nicht veröffentlichen.

Stellenmarkt
  1. Bruker AXS GmbH, Karlsruhe
  2. Taconic Biosciences GmbH, Leverkusen

Wie schwerwiegend die Sicherheitslücke ist, hängt allerdings von der Konfiguration des Servers ab, unter Umständen lassen sich Root-Rechte auf einem so angreifbaren Server erlangen. Besonders kritisch ist dieses Problem für Open-Source-Projekte, da diese oft einen anonymen CVS-Zugriff erlauben.

Allerdings existiert mittlerweile eine fehlerbereinigte CVS-Version, die unter ccvs.cvshome.org/servlets/ProjectDownloadList heruntergeladen werden kann. Betreiber großer CVS-Server wurden vorab über die Problematik informiert.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 4,32€
  2. (-63%) 11,00€
  3. (-58%) 24,99€
  4. (-78%) 7,99€

Sturmkind 22. Jan 2003

Hallo Alex, ja Tolleranz ist für mich sehr wichtig das stimmt. Allerdings sehe ich auch...

AlexParaglide 22. Jan 2003

Hi, +++++++++ Das Problem dabei ist nur das zwar bei Opensource Software das ganze...

Sturmkind 22. Jan 2003

Das Problem dabei ist nur das zwar bei Opensource Software das ganze innerhalb kürzester...

megaimmi 22. Jan 2003

hi, wenn das ms gemacht haette, dann haettest du fuer die software ne mindestens...

C.Keck 21. Jan 2003

Abwarten. Es wird so lange nicht dauern, bis das Kommentieren in der Form Das waere...


Folgen Sie uns
       


Nubia Z20 - Test

Das Nubia Z20 hat sowohl auf der Vorderseite als auch auf der Rückseite einen Bildschirm. Dadurch ergeben sich neue Möglichkeiten der Benutzung, wie sich Golem.de im Test angeschaut hat.

Nubia Z20 - Test Video aufrufen
Confidential Computing: Vertrauen ist schlecht, Kontrolle besser
Confidential Computing
Vertrauen ist schlecht, Kontrolle besser

Die IT-Welt zieht in die Cloud und damit auf fremde Rechner. Beim Confidential Computing sollen Daten trotzdem während der Nutzung geschützt werden, und zwar durch die Hardware - keine gute Idee!
Ein IMHO von Sebastian Grüner

  1. Gaia-X Knoten in Altmaiers Cloud identifzieren sich eindeutig
  2. Gaia-X Altmaiers Cloud-Pläne bleiben weiter wolkig
  3. Cloud Ex-SAP-Chef McDermott will Servicenow stark expandieren

Google Stadia im Test: Stadia ist (noch) kein Spiele-PC- oder Konsolenkiller
Google Stadia im Test
Stadia ist (noch) kein Spiele-PC- oder Konsolenkiller

Tschüss, Downloads, Datenträger und Installationsroutinen: Mit Google Stadia können wir einfach losspielen. Beim Test hat das unter Echtweltbedingungen schon ziemlich gut geklappt - trotz der teils enormen Datenmengen und vielen fehlenden Funktionen.
Von Peter Steinlechner

  1. Google Stadia Assassin's Creed Odyssey bis Samurai Showdown zum Start
  2. Nest Wifi Googles Mesh-Router priorisiert Stadia
  3. Spielestreaming Google stiftet Verwirrung über Start von Stadia

Mi Note 10 im Kamera-Test: Der Herausforderer
Mi Note 10 im Kamera-Test
Der Herausforderer

Im ersten Hands on hat Xiaomis Fünf-Kamera-Smartphone Mi Note 10 bereits einen guten ersten Eindruck gemacht, jetzt ist der Vergleich mit anderen Smartphones dran. Dabei zeigt sich, dass es einen neuen, ernstzunehmenden Konkurrenten unter den besten Smartphone-Kameras gibt.
Von Tobias Költzsch

  1. Mi Note 10 im Hands on Fünf Kameras, die sich lohnen
  2. Xiaomi Neues Redmi Note 8T mit Vierfachkamera kostet 200 Euro
  3. Mi Note 10 Xiaomis neues Smartphone mit 108 Megapixeln kostet 550 Euro

    •  /