• IT-Karriere:
  • Services:

Kritische Sicherheitslücke in CVS

Angreifer können unter Umständen Root-Rechte erlangen

Eine kritische Sicherheitslücke im Concurrent Versions System (CVS) hat Stefan Esser von der Firma e-matters entdeckt. CVS wird in der Softwareentwicklung zur Verwaltung von Quelltexten eingesetzt und ist insbesondere im Open-Source-Umfeld das dominierende System. CVS bis zur Version 1.11.4 erlaubt es Angreifern unter Umständen eigenen Code auf einem entsprechenden Server auszuführen.

Artikel veröffentlicht am ,

Betroffen von der Sicherheitslücke, die an einer fehlerhaften Behandlung von Verzeichnis-Requests liegt, sind Linux-, Solaris-, BSD- und, so Esser, mit größter Wahrscheinlichkeit auch Windows-Systeme. Ihm gelang es, ein entsprechendes Programm zu schreiben, das unter Ausnutzung der Sicherheitslücke Shell-Kommandos auf einem BSD-Server ausführt. Dieses wird e-matters allerdings nicht veröffentlichen.

Stellenmarkt
  1. Agentur für Innovation in der Cybersicherheit GmbH, Halle (Saale)
  2. evm-Gruppe, Koblenz

Wie schwerwiegend die Sicherheitslücke ist, hängt allerdings von der Konfiguration des Servers ab, unter Umständen lassen sich Root-Rechte auf einem so angreifbaren Server erlangen. Besonders kritisch ist dieses Problem für Open-Source-Projekte, da diese oft einen anonymen CVS-Zugriff erlauben.

Allerdings existiert mittlerweile eine fehlerbereinigte CVS-Version, die unter ccvs.cvshome.org/servlets/ProjectDownloadList heruntergeladen werden kann. Betreiber großer CVS-Server wurden vorab über die Problematik informiert.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)

Sturmkind 22. Jan 2003

Hallo Alex, ja Tolleranz ist für mich sehr wichtig das stimmt. Allerdings sehe ich auch...

AlexParaglide 22. Jan 2003

Hi, +++++++++ Das Problem dabei ist nur das zwar bei Opensource Software das ganze...

Sturmkind 22. Jan 2003

Das Problem dabei ist nur das zwar bei Opensource Software das ganze innerhalb kürzester...

megaimmi 22. Jan 2003

hi, wenn das ms gemacht haette, dann haettest du fuer die software ne mindestens...

C.Keck 21. Jan 2003

Abwarten. Es wird so lange nicht dauern, bis das Kommentieren in der Form Das waere...


Folgen Sie uns
       


Monkey Island - Titelmusik aller Versionen

Wir haben alle Varianten der Titelmusik im Video zusammengestellt - plus Bonusversion.

Monkey Island - Titelmusik aller Versionen Video aufrufen
SSD vs. HDD: Die Zeit der Festplatte im Netzwerkspeicher läuft ab
SSD vs. HDD
Die Zeit der Festplatte im Netzwerkspeicher läuft ab

SSDs in NAS-Systemen sind lautlos, energieeffizient und schneller: Golem.de untersucht, ob es eine neue Referenz für Netzwerkspeicher gibt.
Ein Praxistest von Oliver Nickel

  1. Firecuda 120 Seagate bringt 4-TByte-SSD für Spieler

Vivo X51 im Test: Vivos gelungener Deutschland-Start hat eine Gimbal-Kamera
Vivo X51 im Test
Vivos gelungener Deutschland-Start hat eine Gimbal-Kamera

Das Vivo X51 hat eine gute Kamera mit starker Bildstabilisierung und eine vorbildlich zurückhaltende Android-Oberfläche. Der Startpreis in Deutschland könnte aber eine Herausforderung für den Hersteller sein.
Ein Test von Tobias Költzsch

  1. Software-Entwicklung Google veröffentlicht Android Studio 4.1
  2. Jetpack Compose Android bekommt neues UI-Framework
  3. Google Android bekommt lokale Sharing-Funktion

Energiewende: Wie die Begrünung der Stahlindustrie scheiterte
Energiewende
Wie die Begrünung der Stahlindustrie scheiterte

Vor einem Jahrzehnt suchte die europäische Stahlindustrie nach Technologien, um ihren hohen Kohlendioxid-Ausstoß zu reduzieren, doch umgesetzt wurde fast nichts.
Eine Recherche von Hanno Böck

  1. Wetter Warum die Klimakrise so deprimierend ist

    •  /