计算机世界网消息 安全研究员StefanEsser19日警告,两款常用的开放源代码
数据库软件有瑕疵,可能导致
黑客入侵,造成开源软件开发计划遭到破坏。他指出,许多开发人员用ConcurrentVersionsSystem来储存程序代码,但这种软件有一种安全弱点。另一个使用率较不普及的称为Subversion的系统,也露出安全破绽。
许多大型的开放源代码发展计划都以CVS软件建置服务器,把发展中的程序代码储存
注册财富会员人人得奖 E歌时代来临了!
香水首饰装扮物质女人 飞鱼大赛秀出你的风采
起来。例如,Gnome和KDELinux桌面、Apache网络服务器和主要Linux版本的发展单位,都使用安装这款源代码
数据库软件的服务器。
担任德国软件公司E-Matters CTO的Esser说,5月中旬上述团体已接获通知,并安装了修补程序。
Esser在电子邮件里写道:“超大型计划通常都使用CVS...服务器只是散布的管道。”他指出,各大开放源代码软件开发机构用服务器储存程序代码,通常只能经由受到安全防护的联机存取。“但是,许多小型的开放源代码计划却把发展的成果放在不安全的服务器上,”他说。
网管bitscn_com
根据Esser发出的警示讯息,凡是在5月19日前发布的CVS软件版本,都潜在一种安全弱点,术语称作heapoverflow,是因为系统使用者传送的资料查核得不够严谨所致。CVS计划和主要Linux与BSD的渠道皆已针对此问题发出通告。
Subversion是CVS应用程序的改写版,内含让
黑客更容易下手的弱点。Esser说,问题发生在程序代码剖析(parse)资料的过程出差错之时,可能让
黑客趁虚而入,“自远程执行存在Subversion服务器上的程序,可能进而导致储存库遭
黑客控制”Esser说:“利用CVS瑕疵作乱的难度要高出数倍。”
这不是开放源代码
数据库的安全问题第一次亮红灯。去年,CVS软件也被发现一项弱点,让服务器的门户洞开,
黑客得以擅自窜改授权权限。此问题导致数起服务器遭外人入侵的事件。
黑客愈来愈把矛头对准在Linux环境下执行的软件,而Linux是最常与CVS搭配使用的操作系统。今年3月和4月,置于各大学术机构超级计算机中心的Linux及Solaris服务器都遭不明人士闯入。Debian版Linux发展小组的成员MartinSchulze认为,CVS瑕疵的威胁有限。
网管下载dl.bitscn.com
阳子 编译
评论加载中…
