Sicherheitslücken in verbreiteten Repositories, die zur Verwaltung unterschiedlicher Quellcode-Versionen von Open-Source-Anwendungen dienen, ermöglichen es Angreifern, beliebigen Code auszuführen, warnt Stefan Esser, Chief Security and Technology Officer beim Kölner Softwareanbieter eMatters.

Betroffen sind die Versionen bis 1.11.15 und "Feature-Releases" bis 1.12.7 des CVS (Concurrent Version System) sowie dessen Nachfolgesystem "Subversion einschließlich Version 1.0.2. Verwendet werden die Systeme von vielen Open-Source-Projekten wie KDE, Gnome und Apache. Auch verschiedene Linux-Entwickler, etwa die des Debian-Projekts, legen ihren Code im CVS ab. Die Entwickler der Netzsoftware Samba verwenden Subversion. Laut Esser wurden die großen Projekte bereits Anfang Mai gewarnt und haben mittlerweile auf die neuesten Versionen aufgerüstet, die den Fehler nicht mehr aufweisen. Allerdings gebe es noch viele kleinere Open-Source-Projekte, die noch nicht umgestellt hätten. (lex)