Web

 

CERT warnt vor Sicherheitslücke im Open-Source-Tool CVS

24.01.2003

MÜNCHEN (COMPUTERWOCHE) - Das CERT (Computer Emergency Response Team) warnt vor einer Sicherheitslücke im Open-Source-Tool CVS (Concurrent Version System). Durch das Leck erhalten Angreifer vollen Zugriff auf CVS-Server und verwaltete Sourcecodes. Laut CERT lassen sich dadurch zum Beispiel trojanische Pferde in quelloffene Software einschleusen. Mit Hilfe von CVS können Entwickler den Quellcode von Open-Source-Projekten über Remote-Verbindungen ändern, ohne die Anpassungen anderer Programmierer zu überschreiben. Enthalten ist außerdem eine Versionskontrolle. Betroffen sind etwa 55.000 Open-Source-Projekte, deren Quellcodes mit CVS verwaltet werden.

Die Sicherheitslücke wurde bereits Anfang Januar von Stefan Esser, Sicherheitsexperte bei E-Matters, entdeckt. Mittlerweile haben die CVS-Entwickler die Version 1.11.5 bereitgestellt, die den Fehler beheben soll. (lex)