オープンソース・コード管理アプリ「CVS」と「Subversion」に脆弱性

　人気の高い2つのソースコード・データベースアプリケーションに欠陥が見つかった。米国時間19日にこの欠陥の存在を明らかにしたセキュリティ研究者の話では、これを悪用した攻撃者が、オープンソースソフトウェアのプロジェクトにアクセスし、中味に手を加えてしまう可能性があるという。

　今回見つかった2つの脆弱性のうち、1つはプログラマの多くがプログラムコードの保管に利用しているアプリケーション、Concurrent Versions System（CVS）に影響する。そして、もう1つの脆弱性は、CVSと比べて新しく、それほど普及していないSubversionというアプリケーションに存在する、と両セキュリティホールを発見した研究者、Stefan Esserは述べている。

　CVSソフトウェアは、特に大規模なオープンソースプロジェクトで開発中のプログラムのバージョン管理用サーバ構築に利用されている。LinuxデスクトップのGnomeとKDEや、Apacheウェブサーバ、Linuxの各大型ディストリビューションなどを開発したグループも、CVSサーバを利用していた。

　これらのグループは今月、今回の発表の前にこのセキュリティ問題の通知を受けており、既にパッチをインストール済みだ、とEsserは述べている。Esserはドイツのソフトウェア会社e-Mattersで最高セキュリティ・技術責任者を務めている。

　Esserは電子メールでのインタビューで、「非常に大規模なプロジェクトでは、通常、配信手段としてCVSサーバを使用して」おり、開発者がコードの保存に使用しているサーバは、暗号化されたセキュアな接続でなければアクセスできないと指摘。「しかし小規模なオープンソースプロジェクトの多くは、脆弱なサーバで開発プロジェクトを運営している」と同氏は付け加えた。

　Esserが出した警告によると、CVSの欠陥は、5月19日までにリリースされた全てのCVSソフトウェアのバージョンが対象になるという。この脆弱性は専門的には「ヒープ・オーバーフロー」と呼ばれるもので、システムのユーザーからのデータが厳しくチェックされないために生じるもの。CVSプロジェクトやLinuxやBSDの主要なディストリビューションは、この問題についての勧告を掲載している。

　Subversionは、CVSアプリケーションを書き直したソフトウェアだが、Esserによると、このSubversionにある脆弱性は、CVSのものよりもずっと簡単に悪用されやすいという。この脆弱性は、コードの日付解析方法の間違いによって生じる。「Subversionサーバ上でリモートからコードが実行され、レポジトリが改ざんされるおそれがある」とEsserの勧告には記されている。

　「CVSの欠陥のほうがずっと悪用しにくい」（Esser）

　開発者らがソースコード・データベースのセキュリティホールに悩まされるのは、これが初めてではない。昨年には、今回とは別の脆弱性がCVSソフトのなかに見つかったが、これを悪用されると、攻撃者が開発用サーバに侵入して、自分のユーザー権限のレベルを上げられてしまうとされていた。

　CVSはLinuxと合わせて使われることが多いが、このところLinux上で動作するソフトウェアに狙いを定めたセキュリティ攻撃がますます増えてきている。最近でも、3月から4月にかけて、学術関連のスーパーコンピュータセンターにあるLinuxおよびSolarisサーバに何者かが侵入し攻撃を加えるという事件が起こっていた。