Vulnérabilités

Une faille pour CVS et Subversion.

Par Jerome Saiz, le 20 mai 2004 à 10:41:00.

Deux vulnérabilités viennent d'être découvertes dans les systèmes de gestion de projets open-source CVS et Subversion. Exploitables à distance, elles permettraient la prise de contrôle du serveur au moment de soumettre un code source. Prévenus en avance, tous les grands projets open-source ont déjà corrigés leurs serveurs.

CVS et Subversion sont les deux outils de gestion du code source les plus utilisés dans la communauté open-source (et par de nombreux développements commerciaux aussi !).
Ils permettent à de nombreux développeurs de travailler sur le même projet tout en assurant la cohérence du code source.
L'erreur qui vient d'être découverte dans ces outils permettrait de prendre le contrôle à distance d'un serveur de gestion des sources et ainsi d'en modifier le contenu. Bien que le risque soit réel, il est à relativiser : dans la pratique les projets open-source les plus en vue se protègent de ce type d'attaque à l'aide de systèmes capables de détecter les modifications des sources les plus suspectes. Cela a par exemple été le cas pour le noyau de Linux et le projet Linux Gentoo l'an dernier.

L'erreur publiée hier se cache dans un simple bit, pourtant la plus petite unité de mesure informatique qui soit ! Ce bit est ajouté aux lignes de code lorsqu'elles sont soumises au serveur CVS. Son rôle est de permettre, ultérieurement, de faire la différence entre les lignes du code source modifiées et les autres. Oui mais voilà... il est possible de rajouter ce bit presque indéfiniment, ce qui provoque à terme l'écrasement de zones mémoire bien choisies.
L'exploitation de cette vulnérabilité n'est pas triviale (elle paraît cependant plus simple à réaliser sur Subversion que sur CVS) mais tout de même bien réelle. Un correctif a été publié et tous les projets open-source majeurs ont mis leur infrastructure CVS à jour. Reste à convaincre les plus petits !

Plus d'information

L'alerte originale (en Anglais).
L'alerte (en Français).

Une faille grave pour Opera. (22 oct 2003)
Une faille grave dans Sendmail. (04 mars 2003)
Une faille pour Sun ONE Application Server 6.x (21 mars 2003)
Nouvelle faille pour Sendmail. (31 mars 2003)
Une faille critique pour Oracle 11i. (14 juin 2004)

Cartes blanches

IAM : dépenser moins pour gagner plus Bruno Vincent Une phrase d'Eric Domage, d'IDC, interpelait récemment décideurs et acteurs du marché sur l'importance des coûts et le peu de ROI découlant des projets d'IAM. Bruno Vincent nuance voire réfute en partie, ces propos.	Organisation et sécurité: en finir avec le cloisonnement ! Bruno Vincent DSI,RSSI et Métiers ont encore du mal à collaborer efficacement. Pourtant, l'organisation s'avère être, une fois de plus, la pierre angulaire d'un Système d'Information sûr et aux coûts maîtrisés.
Les RSSI du monde bancaire à l'aube d'une vague de démissions ? Monsieur RSSI Rien ne semble changer en matière de risques et sécurité dans le monde bancaire. Constat désabusé et inquiet d'un RSSI du secteur.	Rififi en vue chez les identités Bruno Vincent Alors qu'OpenID attise l'intérêt des géants de l'informatique, l'acquisition de Credentica par Microsoft laisse augurer d'une possible guerre des « standards » en matière de gestion des identités sur le Web.
>> Plus de Cartes Blanches

Les dossiers Les thématiques

Quel socle de connaissances pour le RSSI ?Les services managés de sécurité à l’age adulte Les botnets se mettent au Web 2.0 Antivirus : la révolution in the cloud

Gestion des Identités et des Accès Les Assises de la Sécurité 2008 Les Interviews Vidéo Prévention des fuites de données (DLP)Virtualisation

espace partenaires

Livres Blancs

Guides

Le Guide Sécurité & Stockage 2009, c'est 290 pages consacrées au marché et à ses acteurs, et 300 entreprises référencées.

Espace membres