Stagnate alcune falle di CVS

Nuove versioni del diffuso software open source corregono alcune vulnerabilitÓ di sicurezza, una delle quali considerata piuttosto pericolosa

Roma - All'inizio della settimana il progetto open source che cura lo sviluppo del Concurrent Versions System (CVS) ha rilasciato un importante aggiornamento di sicurezza che mette fine ad alcune serie vulnerabilitÓ di questo software.

CVS Ŕ uno strumento utilizzato da moltissimi progetti open source per consentire a pi¨ programmatori di lavorare via Internet sullo stesso codice e tenere traccia di tutte le modifiche apportate.

La falla considerata pi¨ pericolosa pu˛ consentire ad un utente remoto di compromettere un server remoto o di lanciare attacchi di denial of service. I problemi, in tutto quattro, sono stato sintetizzati da Secunia in questo advisory.
Per risolvere le vulnerabilitÓ il team di sviluppo ha rilasciato le nuove versioni 1.11.20 e 1.12.12 del CVS: l'ultima versione stabile risaliva al 3 febbraio.

In passato alcune debolezze contenute nel CVS sono state sfruttate dai cracker per inserire dei cavalli di Troia nei server di certi progetti open source, fra cui Sendmail, e per penetrare su uno dei computer della Free Software Foundation.
10 Commenti alla Notizia Stagnate alcune falle di CVS
Ordina
  • Stiamo passando ad un server subversion a cui accediamo via ssh. Man mano che si riprendono i proggetti questi vengono importati su repository subversion. Ci pare che il software abbia diversi pregi. Apprezziamo il fatto che il versioning sia globale e non locale per singolo file, evitando così il ricorso ai tag per distinguere le versioni del progetto. Subversion gestisce allo stesso modo binari e file ascii, al contrario di cvs che duplicava i file binari. Sempre su subversion, è possibile spostare i file senza esser costretti a cancellarli e ricrearli. E poi, al contrario di cvs, è supportanto versioning dei metadata, come ad esempio il nome dei file. Inoltre è in grado di tenere nel repository anche i link simbolici, una mancanza che su uno specifico progetto ci aveva impedito di usare cvs. Infine, è molto più intuitiva la gestione dei branch, che di fatto sono creati con una operazione di copia virtuale del progetto. Certo cvs è ancora il più diffuso e supportato. Forse qualcuno potrebbe criticare la scelta di non mantenere un numero di versione separato per ogni file. Ma mi pare che, anche in funzione degli sviluppi, subversion sia una scelta più adatta.

    Opinioni in merito?
    FDG
    10933

  • - Scritto da: FDG
    > Opinioni in merito?

    ODIO CVS!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

    E non credo che amero' nemmeno Subversion...
    3518
  • che ne dite di Perforce?
    non+autenticato

  • - Scritto da: Anonimo
    > che ne dite di Perforce?

    l'ho usato per dei mesi, molto carino
    non+autenticato
  • - Scritto da: Anonimo
    >
    > - Scritto da: Anonimo
    > > che ne dite di Perforce?
    >
    > l'ho usato per dei mesi, molto carino

    Mah, io non l'ho mai usato, ma confrontandone le caratteristiche con Subversion, mi pare che i due strumenti siano molto simili tra loro. Certo Subversion è arrivato da poco e probabilmente è ispirato a strumenti come Perforce. Per questo non è da confrontare più di tanto con cvs, oggetto molto più rudimentale. Ha un vero server, al contrario di cvs, basato su un DB, al momento BerkeleyDB, ma in futuro potrà essere qualcos'altro. Il protocollo è ottimizzato per limitare la comunicazione tra client e server. Le release, come ho detto nel precedente post, sono univoche ed è facile tenere traccia dell'evoluzione globale del progetto. E' facile da usare, molto più di cvs, soprattutto quando si tratta di gestire operazioni come il branching, e si integra perfettamente con client come TortoiseSVN. Ho trovato TortoiseSVN veramebte fatto bene. Lo uso a casa per i lavori personali, senza server chiaramente. Al lavoro, da quando l'abbiamo adottato, anche quelli che non sono sviluppatori si sono messi ad usarlo per le loro attività.
    Poi, ripeto, non conosco Perforce, per cui non posso giudicare più di tanto. Posso dire tranquillamente che tra cvs e Subversion preferisco decisamente quest'ultimo. E magari anche PerforceSorride
    Se volete provare:
    http://tortoisesvn.tigris.org/

    EDIT

    Confronto tra software SCM:
    http://better-scm.berlios.de/comparison/comparison...

    ==================================
    Modificato dall'autore il 21/04/2005 1.29.40
    FDG
    10933
  • P4 lo usiamo professionalmente da anni, ed e' davvero notevole. Efficiente, solido, multipiattaforma, potente.
    L'unica _vera_ pecca, IMHO, e' il costo... se non erro ora sono $800 / utente...Triste
    non+autenticato

  • - Scritto da: FDG

    > Opinioni in merito?

    Abbiamo migrato CVS su SVN appena questo ha raggiunto la versione 1.0.
    All'inizio abbiamo avuto problemi di "corruzione" del repository (Nessun dato perso, problema risolto con un check del repository) e ho dovuto lottare con un BUG di CVS che non mi lasciava creare un repository con un URL sotto "/".
    Ora posso affermare che SVN e' maturo e utilizzabile senza nessuna controindicazione. Con tools come tortoiseSVN oppure smartSVN e' di facile utilizzo anche per un "neofita" o da chi proviene da altri sistemi "cazzuti" come VSS o StarTeam. Pure chi proviene da CVS si trova subito a proprio agio data la somiglianza di SVN a quest'ultimo.
    Ho trovato molto comodo il sistema di backup/restore e la gestione dei permessi.

    Per chi cerca un sistema di versioning centralizzato, direi che SVN e' la scelta migliore.
    11237
  • peccato che per Mac non supporti ancora le resource forks per beneTriste
    non+autenticato
  • - Scritto da: Anonimo

    > peccato che per Mac non supporti ancora le
    > resource forks per beneTriste

    Piazza le tue copie locali su un disco formattato UFS. Dato che UFS non supporta i resource fork, Carbon li simula con dei file, col risultato che subversion dovrebbe gestirli tranquillamente.

    Comunque, a lungo andare i resource fork dovrebbero essere abbandonati in favore dei bundle e spero anche dei metadata, supportati da HFS e da Subversion.
    FDG
    10933
  • - Scritto da: FDG

    > Piazza le tue copie locali su un disco formattato
    > UFS...

    Se non hai un disco adatto allo scopo e se non vuoi ripartizionare il tuo disco, puoi creare un file immagine e formattarlo UFS o Ext2, se hai il driver per quest'ultimo.
    FDG
    10933