CVSに新たに6つの脆弱性 41
ストーリー by yoosee
安全性を見つめ直す機会に 部門より
安全性を見つめ直す機会に 部門より
Anal Cunt 曰く、 "セキュリティ企業の e-matters から CVS の新たな脆弱性発見が勧告された(参考:
SecurityFocus の勧告、
ITmediaの記事、CNETJapanの記事)。
今回の脆弱性は、前回発見された脆弱性を元にセキュリティ研究者が調査したところ、新たに6つの脆弱性が見つかったというもの。中にはリモートからCVSサーバが乗っ取られる可能性のあるものも含まれており、深刻度は「重大」となっている。1.12.8までのFeature版と1.11.16までのStable版が影響を受ける。直ちに新バージョンにアップグレードするべきでしょう。"
Samba-JPは止めました (スコア:3, 参考になる)
セキュリティの基本の1つは、余計なものは動かさない、ですから。
Re:Samba-JPは止めました (スコア:1, おもしろおかしい)
まぁ、最高のセキュリティであるけど。
Re:Samba-JPは止めました (スコア:0)
Subversionはどうでっか? (スコア:1)
CVSのセキュリティホールがこれだけ、たくさん発見されて、
サーバのっとられたという話しが続くと、他のソフトに移らないのか
不思議に思うのですが、やはり、移行するとなると、たくさんの
障害があるものなんでしょうか?
romfffromのコメント設定
AC-2、プラスモデ+3、閾値0、スコアを表示しない(推奨)、高い評価のコメントを親にする
Re:Subversionはどうでっか? (スコア:4, 興味深い)
Re:Subversionはどうでっか? (スコア:0)
リモートからチェックアウトすると、コミットもリモートへいっちゃうし、
かといってリポジトリミラーするときには固定のディレクトリになんでも
かんでも放りこまれてしまう。
安心して使えるBitKeeperがあれば大満足なんだけどなぁ。。。
Re:Subversionはどうでっか? (スコア:1, 参考になる)
前回のは同様の穴がSubversionにもあったわけで。
オープンソース・コード管理アプリ「CVS」と「Subversion」に脆弱性 [cnet.com]
私的にはむしろ出来たばかりのソフトウェアの方が、セキュリティ的に心配です。
Re:Subversionはどうでっか? (スコア:2, 参考になる)
> 私的にはむしろ出来たばかりのソフトウェアの方が、セキュリティ的に心配です。
同感。ローカルで使う分には構わないのですけどね。
Re:Subversionはどうでっか? (スコア:1)
やはり、CVSの方が古いだけに、安全性を考えれば、
CVSという感じになるのですね。
romfffromのコメント設定
AC-2、プラスモデ+3、閾値0、スコアを表示しない(推奨)、高い評価のコメントを親にする
Re:Subversionはどうでっか? (スコア:2, 興味深い)
CVSが書かれた頃とSubversionが書き始められた頃とではセキュリティに対する意識もぜんぜん変わっていると思うんだけど。
Subversionの時代には、可変長と分かっているものに固定長バッファを割り当てたりというようなコードは最初から発想しなくなっていると信じたいなあ。
実際俺もSubversionのコードを読んだりハックしたことがあるけど、見通しはとてもいいと思っているよ。
Re:Subversionはどうでっか? (スコア:2, おもしろおかしい)
やはり、コードに対する考え方も変わってきてるから、
一概に古い物の方がより安全とはいえないんですね。
#考え方を振り回される初心者
romfffromのコメント設定
AC-2、プラスモデ+3、閾値0、スコアを表示しない(推奨)、高い評価のコメントを親にする
古くても・・・ (スコア:0)
「問題があるかもチェックされていない」のか、
「問題があるかもしれないけど、手をつけられない」のか、
傍目からは簡単には解らないのでしょう。
全部のソースコードを定期的に再チェックするなんてことを、
個人で出来るなら別でしょうけど。
CVSとかって「監査日」とか
「再チ
Re:Subversionはどうでっか? (スコア:1, 興味深い)
「こんなに使い古されてるのに、ここまで酷いコードがよく生き残ってるもんだなぁ」
と関心したよ。
ソースコード読める人が読んだらsubversionに移行したくなること請け合い。
Re:Subversionはどうでっか? (スコア:0)
Re:Subversionはどうでっか? (スコア:0)
出来たばかりでもないのに、いまだにセキュリティーホールが続出するような
理解に苦しむソフトウェアに比べれば
「未知数」であることの方がいくぶんましでしょうね
IE6よりIE3の方が安心という発想はいかがなものか
Re:Subversionはどうでっか? (スコア:1, おもしろおかしい)
#最悪のケースでもSEGVまでで。
Re:Subversionはどうでっか? (スコア:2, すばらしい洞察)
# 断っときますがネタですよ
どっちにしろ、こういった脆弱性が見つかりがちで、かつ不特定多数に公開するようなサービスは、chroot で影響範囲を絞ったり、必要のない機能を出来る限り殺したり、read-only なシステム上で動かしたり(tripwire仕掛けたり)、より安全な代替手段(今回の場合は pserver の代わりに over ssh など?)をさがすのも大事ですね。日々管理に勤しんだとしても、発表から対策までの空白が出来たりするわけだし。
Re:Subversionはどうでっか? (スコア:1)
しかも security fix です。世の中、そうは問屋が下ろさないようですね。
Re:Subversionはどうでっか? (スコア:0, 参考になる)
♪モテたくて、PowerBookですよ!
♪モテたくて、intelとMicrosoftを叩きますよ!!
♪モテたくて、ローンで外車ですよ~~~~~~~~~~~~~~~!!
Subversionにも、ちょくちょくセキュリティーホールが見付かっているので、
やはり結局、脆弱性に関
_
# CheapGbE!GbE!!TheKLF!KLF!!TheRMS!RMS!! And a meme sparks...
Re:Subversionはどうでっか? (スコア:1)
みたいですね。CVSとか使った事ないので、そういう
事情に疎かったです。
#しかし、あなたのカルマ凄いですね。
#IDでモデ無しで見えない方は初めてです。
#私はあなたのコメントは面白いと思いますよ。
romfffromのコメント設定
AC-2、プラスモデ+3、閾値0、スコアを表示しない(推奨)、高い評価のコメントを親にする
Re:Subversionはどうでっか? (スコア:0)
>#IDでモデ無しで見えない方は初めてです。
>#私はあなたのコメントは面白いと思いますよ。
彼のコメントはほとんど情報がないものが圧倒的に多い。
過去のコメントには目を通してみましたか?
街中で
Re:Subversionはどうでっか? (スコア:0)
>#IDでモデ無しで見えない方は初めてです。
こういう方もおられました [srad.jp]。
#個人的には「なろうとしてなりきれてない」ように見えてしまうのだなぁ。
#臆病な臆病者
Re:Subversionはどうでっか? (スコア:0)
合掌。 [osask.jp]
#オフトピなのでAC
pserverの問題なの? (スコア:0)
前回は確かにpserverの問題だったんで、anonymous CVSさえ止めれば問題ないと思うけど、今回もpserver絡みなの? CVS本体の話なら、anonymous CVS via sshで経路を暗号化したところで意味はないと思うんだが。
SecurityFocusの記事見ても良く判らないんで詳しい人解説プリーズ。
Re:pserverの問題なの? (スコア:4, 参考になる)
動かせと書いていありますね。
romfffromのコメント設定
AC-2、プラスモデ+3、閾値0、スコアを表示しない(推奨)、高い評価のコメントを親にする
Re:pserverの問題なの? (スコア:1, 参考になる)
Re:pserverの問題なの? (スコア:2, 参考になる)
anoncvs over sshが最近は一般的になりつつあります。savannah.gnu.orgはanoncvs over sshしかありませんし、sourceforgeでもpserver以外にもanoncvs over sshに対応しています。
アカウントがなければ云々というのは、いまや的外れでしょう。
Re:わけもわからず (スコア:0)
できないようにしたほうがいいんじゃないでしょうか。
Re:わけもわからず (スコア:0)
Re:わけもわからず (スコア:0)
Re:ソースの公開とセキュリティとは関係ありません。 (スコア:2, 興味深い)
ただ、コードの品質とソースのオープン/クローズは無関係では無いだろ。利点もあれば欠点もある。Double-Blind Peer Reviewed Softwareみたいなものがあったらもっと良くなるだろうね。
利点: 他人の目に晒されるため、コードに不味い点があれば指摘がもらえる。コーダーが悪いコード量産する癖があれば、それを指摘される事でコーダーの技量向上も望める。
欠点: 悪人もそれを見ているため、下手なコード書くと簡単にexploitされる。参加者が増えるとコードの質が一定に保てない。
Re:ソースの公開とセキュリティとは関係ありません。 (スコア:0, フレームのもと)
> 前回発見された脆弱性を元にセキュリティ研究者が
> 調査したところ、新たに6つの脆弱性が見つかったという
プロプライエタリじゃ、これは有り得ませんもんね。
Re:ソースの公開とセキュリティとは関係ありません。 (スコア:0)
なんで有り得ないと思うのか、解説求む。
Re:ソースの公開とセキュリティとは関係ありません。 (スコア:1, すばらしい洞察)
「作ればあるもん!」に通じるものを感じました。
Re:ソースの公開とセキュリティとは関係ありません。 (スコア:0)
わかってるんでしょうか
ちなみに元コメントのACさんが言ってるのは「既にある状態」だと思いますが。
Re:ソースの公開とセキュリティとは関係ありません。 (スコア:0)
Re:ソースの公開とセキュリティとは関係ありません。 (スコア:0)
Re:ソースの公開とセキュリティとは関係ありません。 (スコア:0)