オープンソース・コード管理アプリ「CVS」に6つの脆弱性--セキュリティ研究者らが発見

　開発中のコードを管理するプログラムで、オープンソース分野で最も人気の高いConcurrent Versions System（CVS）に、新たな脆弱性が見つかった。セキュリティ研究者らが発見したもので、少なくとも6つあるという。

　CVSプログラムを管理するプロジェクトの関係者によると、これらの脆弱性の中には、攻撃者がインターネット経由でCVSサーバを制御できるようになるものも含まれる。この場合、レポジトリに保存されたコードが危険にさらされてしまう。CVSについて同様の脆弱性が先月報告されており、それを受けてプロジェクトメンバーがプログラムのコードを改めて分析していた。今回の脆弱性はそのなかで発見された。

　これらのセキュリティ脆弱性が発見されたことを受けてCVS Projectのリーダーらは、開発チームはインターネットから直接アクセスできる場所にソースコードのレポジトリを置くべきでない、と忠告する。CVS Projectの3人の保守管理者の1人で、プロジェクトのリリースマネージャーを務めるDerek Robert Priceは、レポジトリはLANやVPNからのみアクセス可能な場所に置かれるべきだ、と話している。

　「CVSが安全でないことは、これまでも常に指摘してきた。その点については何ら隠し立てしていない」（Price）

　CVSは、開発中のプログラムのバージョン管理をするために、特に大規模なオープンソースプロジェクトで利用されている。LinuxデスクトップのGnomeとKDEや、Apacheウェブサーバも、CVSを利用していた。

　このプログラムを利用する主要プロジェクトに対しては、米国時間5月28日にこの問題が通知されている。そして、6月9日に一般に公表された。

　今回報告された問題の大半は、2人の研究者によって発見された。2人は、前回発見された脆弱性に対応するパッチが5月にリリースされて以来、ソースコードを綿密に調べてきた。研究者の1人、Stefan Esserは前回のセキュリティホールの発見者でもある。この問題が深刻度を増したきっかけは、ある人物が、前回発見された脆弱性を利用してCVS Projectのサーバにアクセスし、さらに、アクセス権の入手に成功したことを電子メールで公表したことだった。Priceは、同プロジェクトではそのサーバを回収し、攻撃された形跡を調べるために中のファイルを分析する予定だと述べる。

　同プロジェクトでは既に、問題を解決するためのパッチを公表しており、LinuxベンダーのSuSEも追従している。同ソフトウェアを搭載するほかのLinuxディストリビュータも、今週アップデートをリリースする予定。