Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 22/1/2003
En sikkerhedsforsker har fundet et par sårbarheder i det udbredte versionsstyringssystem CVS. En angriber kan udnytte dem til at få udført kommandoer på en CVS-server.CVS (Concurrent Versions System) er et udbredt system til at styre softwareudvikling med. Det bruges til at holde styr på, hvilke programmører der arbejder på forskellige dele af koden i et projekt. Sikkerhedsforskeren Stefan Esser har fundet et par fejl i CVS.
Den ene sårbarhed gør det muligt at afvikle kode på systemet via et bufferoverløb. Den anden gør det muligt at afvikle systemkommandoer under BSD-styresystemet.
Udviklerne af CVS har udgivet en rettelse til programmet. Meget passende kan den rettede version hentes fra en CVS-server, der styrer CVS-udviklingsprojektet.