Se ha descubierto una vulnerabilidad en CVS que permitiría a un usuario
malicioso comprometer un sistema afectado.
CVS (Concurrent Versions System) es un popular sistema de control de
versiones que permite a los programadores acceder a las últimas
versiones del código con el que trabajan a través de la red.
Tanto la versión en desarrollo 1.12.7 y anteriores como la estable
1.12.7 (y anteriores también) se ven afectadas por esta vulnerabilidad,
que se debe a un error contenido en el código que decide si una línea de
entrada a CVS debe llevar un marcador de modificado o sin cambios. Este
error puede ser aprovechado para provocar un desbordamiento de heap, que
a su vez puede utilizarse para ejecutar código arbitrario en un servidor
CVS, lo que podría llevar a comprometer todo un repositorio de software.
Diversas distribuciones de Linux y Unix ya han publicado una
actualización para este software, entre las que se encuentran Debian,
Red Hat, Gentoo, SuSE y FreeBSD.
jcanto@hispasec.com
Más información:
CVS remote vulnerability
http://security.e-matters.de/advisories/072004.html
Deja una respuesta