Corrette nuove brecce del CVS

Il progetto che sviluppa CVS, tool open source che permette di tenere traccia dei cambiamenti al codice di un progetto, ha rilasciato nuove versioni aggiornate del software che correggono alcune serie falle di sicurezza

Roma - Il Concurrent Versions System (CVS), un software open source utilizzato da molti sviluppatori e progetti open per gestire le varie versioni di un codice, non sembra ancora uscito dai riflettori che da qualche tempo gli sono stati puntati addosso dagli esperti di sicurezza.

A poche settimane di distanza dalla scoperta di una seria vulnerabilità di sicurezza, la società E-matters ha pubblicato un advisory in cui spiega che, dopo una recente revisione del codice, sono venuti a galla altri problemi di sicurezza, taluni piuttosto pericolosi.

Sebbene alcune vulnerabilità possono essere sfruttate solo disponendo di un account valido al sistema CVS, altre possono consentire l'esecuzione di codice da remoto o il lancio di attacchi di denial of service. In particolare, E-matters sostiene che una falla chiamata "double-free()" è già stata utilizzata in passato per compromettere diversi sistemi Linux.
Il team di sviluppo di CVS ha già rilasciato degli aggiornamenti che correggono, fra le altre, anche le vulnerabilità riportate da E-Matters.

In passato alcune debolezze contenute nel CVS sono state sfruttate dai cracker per inserire dei cavalli di Troia nei server di certi progetti open source, fra cui Sendmail, e per penetrare su uno dei computer della Free Software Foundation.
19 Commenti alla Notizia Corrette nuove brecce del CVS
Ordina
  • io non ho mica capito cos'e' e come funziona. chi me lo spiega in due parole semplici?
    non+autenticato
  • CVS

    Short for Concurrent Versions System, an open-source, network-transparent program that allows developers to keep track of different development versions of source code. CVS does not maintain multiple versions of source code files but keeps a single copy and records of all of the changes that are made. When a developer wants a particular development version of a file, CVS will reconstruct that version based on its records.


    www.webopedia.com

  • - Scritto da: Anonimo
    > io non ho mica capito cos'e' e come
    > funziona. chi me lo spiega in due parole
    > semplici?

    E' un sistema per il controllo delle revisioni.
    (che non sono ancora parole semplici)

    Un esempio dovrebbe rendere tutto piu' chiaro.

    Tu scrivi un software (ma anche un libro, un sito web, o qualcos'altro), fai modifiche, compili, testi, esegui, modifichi, compili, eccetera.

    Ma non hai nessuna traccia di com'era il tuo file nel passato. Se oggi tutto funziona, fai qualche modifica e dopo una settimana non funziona piu' niente puoi solo andare a memoria per dare la caccia a cosa e' successo.

    Un sistema di controllo delle revisioni invece tiene traccia in pratica di tutta la "storia" di tutti i file.

    In questo modo lo puoi usare come "macchina del tempo" e chiedergli, ad esempio "dammi una copia del mio progetto cosi' come era il giorno 3 giugno 2004".

    Il grosso vantaggio e' che permette a piu' persone di mandargli modifiche allo stesso progetto, gestendo anche il caso in cui due abbiano fatto modifiche agli stessi file (merge oppure conflitto). E' cosi' che si riescono a sviluppare progetti con autori sparsi per li globo come Apache, Linux, e un po' tutti gli altri SW liberi.

    Se sei uno sviluppatore ti consiglio di dare un'occhiata al capitolo introduttivo del Subversion Book che parla in generale dei sistemi di controllo delle revisioni.
    Subversion e' un prodotto alternativo (e migliore) al vecchio CVS, e il libro e' decisamente completo. Spero solo te la cavi con l'inglese!

    http://svnbook.red-bean.com/

    Ciao, Renato
    (che si sta convertendo i progetti a svn)
    non+autenticato
  • mi sono sempre domandato perchè quando si parla di open i bachi sulla sicurezza sono solo "brecce" e quando si parla di microsoft i medesimi bachi sono "voragini", "gravi falle", "sicrezza fallace", ...

    bho? ditemi voi
    non+autenticato
  • Semplicemente perchè un bug su un sistema *nix non è sfruttabile dal primo stronxo che passa, mentre su un sistema Windows basta anche un worm fatto con uno dei tanti programmini che trovi in giro nella rete...
    Per non parlare della zozzeria varia tipo Netbus, e similari...
    non+autenticato

  • - Scritto da: Anonimo
    > mi sono sempre domandato perchè
    > quando si parla di open i bachi sulla
    > sicurezza sono solo "brecce" e quando si
    > parla di microsoft i medesimi bachi sono
    > "voragini", "gravi falle", "sicrezza
    > fallace", ...
    >
    > bho? ditemi voi

    Semplice: i bug (e breccia e' un termine del tutto neutro, usato anche per win, e tuttaltro che lieve, IMHO) del software libero vengono sempre documentati, non ne viene negata l'esistenza finche' non succede il patatrac, e una volta segnalati vengono chiusi nel giro di poche ore.

    Ci sono bug di Explorer che permettono l'esecuzione di codice arbitrario che sono conosciuti e aperti da MOLTI MESI.

    Inoltre le vunlerabilita' remote sono piu' rare, e di solito non permettono comunque di eseguire codice come amministratore, ma solo come l'utente del servizio fallato.

    Confronta con i buchi di IIS, che gira come amministratore del server...

    Ciao, Renato
    non+autenticato
  • un buco è un buco, ovunque egli sia (oddio che risposta ho dato...:$)

    se il buco viene corretto tanto meglio sia in win che in linux

    per tornare al topic principale... oggi i software sono incredibilmente complessi, in modo impensabile fino a 6-7 anni fa, e fare fronte a tutte le possibili minaccie è una dura impresa, soprattutto se i programmatori magari nn sono "guru"

    poi il software è ancora in sviluppo, quindi quale è il problema? se hanno trovato un grave squarcio, significa anke che lo hanno corretto, no?
    non+autenticato

  • - Scritto da: Anonimo
    > un buco è un buco, ovunque egli sia
    > (oddio che risposta ho dato...:$)
    >
    > se il buco viene corretto tanto meglio sia
    > in win che in linux
    >
    > per tornare al topic principale... oggi i
    > software sono incredibilmente complessi, in
    > modo impensabile fino a 6-7 anni fa, e fare
    > fronte a tutte le possibili minaccie
    > è una dura impresa, soprattutto se i
    > programmatori magari nn sono "guru"
    >
    > poi il software è ancora in sviluppo,
    > quindi quale è il problema? se hanno
    > trovato un grave squarcio, significa anke
    > che lo hanno corretto, no?

    Si..almeno se avviene in linux.. se avviene in windows è solo una prova dell'incompetenza di ms...be almeno è l'aria che si respira su PI (punto i***ti)..l'equità non va molto a braccetto con i flame e molto spesso la gente parla più per convinzione filo-politica che per competenza.
    non+autenticato

  • - Scritto da: Anonimo
    >
    > Si..almeno se avviene in linux.. se avviene
    > in windows è solo una prova
    > dell'incompetenza di ms...be almeno è
    > l'aria che si respira su PI (punto
    > i***ti)..l'equità non va molto a
    > braccetto con i flame e molto spesso la
    > gente parla più per convinzione
    > filo-politica che per competenza.

    che nesso c'è tra politica e linux Open/Source?
    non+autenticato

  • - Scritto da: xdavіdex
    >
    > - Scritto da: Anonimo
    > >
    > > Si..almeno se avviene in linux.. se
    > avviene
    > > in windows è solo una prova
    > > dell'incompetenza di ms...be almeno
    > è
    > > l'aria che si respira su PI (punto
    > > i***ti)..l'equità non va molto a
    > > braccetto con i flame e molto spesso la
    > > gente parla più per convinzione
    > > filo-politica che per competenza.
    >
    > che nesso c'è tra politica e linux
    > Open/Source?

    Nessuno tra politica in senso stretto e linux .. solo che in genere chi parla di linux e open source sembra voler difendere tutto quello che viene dal mondo della POLITICA free e open source e sputare su tutto il resto (specie ms)!
    Cosa che accade sempre..molto spesso con argomenti insensati, rileggi i post su bug di ie c'era un tizio che cercava di dimostrare la superiorità di linux tramite la superiorità delle opengl sulle directx e parlava di operngl che consendono di calcolare collisioni nella programmazione di un videogame con un click = non sapeva un hazxo di programmazione videogame ma perseguiva nelle sue farneticazioni fino ad arrivare al cavallo di battaglia POLITICO: le opengl sono free e opensource quindi sono migliori!!!
    Di questi esempi ne è pieno il web (specie pi, rileggi un pò i vari post su argomendi ms e vedrai che il 90% hanno argomentazioni del tipo: winzzoz e winsuck) non si parla più per competenza ma per pseudo-politica, quella del sostenitore open-source che deve per forza schifare i prodotti MS e far capire al mondo che tutti i mali del mondo sono colpa di ms...ma perchè dico io non potete commentare le notizie in maniera seria ed equa?
    Perchè se ti dico che ancora con le distro odierne di linux 1/3 dell'hardware non ha i driver sono un deficiente (utonto lo chiamata..guarda tu avete pure un slang..lo slogan si conosce: ms m**da!) se ti dico che le dipendenze non vengono risolte sono io il p**la e se in vece ti dico che ho avuto problemi in ms sono uno che si è svegliato e deve abbandonare quel zozzume di win?
    La chiami equità?Esagero?
    Rileggi i post di tutto il mese e stupisci del fatto che meno del 10% avevano qualcosa di utile da dire gli altri sembravano tanti venditori porta a porta: chi vuole che installi firefox e adblock, chi mi dice che mandrake mi farà dimenticare xp (nel senso che mandreke non supporta le ntfs e mi fotte la partizione ntfs di xp magari) e via dicendo...
    fai tu...
    non+autenticato
  • - Scritto da: Anonimo
    > Perchè se ti dico che ancora con le
    > distro odierne di linux 1/3 dell'hardware
    > non ha i driver sono un deficiente (utonto

    perche' non e' vero

    > lo chiamata..guarda tu avete pure un
    > slang..lo slogan si conosce: ms m**da!) se
    > ti dico che le dipendenze non vengono
    > risolte sono io il p**la e se in vece ti

    boo io uso debian da anni e apt mi ha sempre risolto le dipendenze, si vede che son fortunato io


    > senso che mandreke non supporta le ntfs e mi
    > fotte la partizione ntfs di xp magari) e via

    perche' xp supporta (anche in sola lettura) uno qualsiasi tra: ext2, ext3, reiserfs, jfs, xfs ?
    non+autenticato

  • - Scritto da: Anonimo
    > - Scritto da: Anonimo
    > > Perchè se ti dico che ancora con
    > le
    > > distro odierne di linux 1/3
    > dell'hardware
    > > non ha i driver sono un deficiente
    > (utonto
    >
    > perche' non e' vero

    No! Magari lo sei tu!
    1/3 del mio hardware non va neanche con l'ultima distro mandrake..se poi tu usi solo hardware di grandi marche non sono affari che mi riguardano, ms mi consente di usare anche il mouse a onde radio comprato a 5 euro in un discount...

    >
    > > lo chiamata..guarda tu avete pure un
    > > slang..lo slogan si conosce: ms m**da!)
    > se
    > > ti dico che le dipendenze non vengono
    > > risolte sono io il p**la e se in vece ti
    >
    > boo io uso debian da anni e apt mi ha sempre
    > risolto le dipendenze, si vede che son
    > fortunato io

    forse si..cmq non esisti solo tu al mondo, ed il fatto che a te non sia successo non significa che non può accadere ...

    >
    >
    > > senso che mandreke non supporta le ntfs
    > e mi
    > > fotte la partizione ntfs di xp magari)
    > e via
    >
    > perche' xp supporta (anche in sola lettura)
    > uno qualsiasi tra: ext2, ext3, reiserfs,
    > jfs, xfs ?

    Solo che io non vado in giro a dire che xp farà dimenticare linux...differenza mica da poco..
    non+autenticato
  • ext2 è supportato in lettura e in scrittura, cercati ext2fs o e explore2fs, la ms non è tenuta a fare nessun supporto per i file system concorrenti, ma ci sono persone che lo fanno, il fatto che ci sia solo ext2 è prettamente tecnico, fare un file system driver per sistemi nt è ESTREMAMENTE complesso, servono compenteze non comuni, e la gente in grado di farli è veramente poca, è solo per questo che ancora non ci sono implementazioni di reiserfs, ext3, e tutti gli altri
    non+autenticato
  • WMP deve essere tolto dalla distribuzione di windows perchè impedisce una concorenza leale...ma apple può tenere il suo player!!
    Perchè? O è consentinto avere un player integrato o non lo è!
    Non si possono fare leggi ad hoc contro ms..l'idea che chi detiene la fetta di mercato più grande debba essere penalizzato maggiormente e tutta vostra e non sta ne in cielo ne in terra!
    Ora nel puro stile del forum dammi del troll o corregi gli eventuali errori ortografici tanto non è che mi aspetti molto di più da queste parti!
    non+autenticato
  • non perche' sia meno buggato ma perche' piu' potenteSorride
    non+autenticato

  • - Scritto da: Anonimo
    > non perche' sia meno buggato ma perche' piu'
    > potenteSorride

    cioè svn sta per ?
    non+autenticato