QR code per la pagina originale

Vulnerabilità in sistemi open source

Non solo Microsoft: anche l'open source è costretta ad ammettere qualche falla, e mentre SuSe ha già provveduto alla risoluzione dei problemi gli altri vendor dovrebbero occuparsene nei prossimi giorni. A rischio il sistema CVS.

,

Nel giorno in cui Microsoft si trova a fare i conti con l’ennesimo problema relativo alla sicurezza, una brutta tegola cade anche sul mondo dell’open source: 6 falle scoperte, in parte risolte ed in parte ancora in attesa di aggiornamenti risolutivi. Pur sottolineando il divario sostanziale tra i problemi dei due mondi contrapposti, Microsoft e non-Microsoft, va giocoforza notato come il mondo “open” abbia ultimamente dovuto subire piccoli smacchi che vanno a macchiare il punto di forza nella competizione anti-Gates.

Mentre non sembrano preoccupare le vulnerabilità riscontrate nel sistema Ethereal (tool deputato al controllo del traffico della rete), i problemi maggiori sono stati evidenziati all’interno del CVS (Concurrent Versions System). Il CVS è un «gruppo di programmi che permettono di modificare un insieme di file tenendo traccia di ogni singola modifica, in modo da poter eventualmente risalire con facilità ad una versione precedente in caso di errori» (nella fattispecie viene utilizzato nei progetti open source «per mantenere e distribuire il codice dei propri programmi»).

Il rischio è che un server CVS possa essere attaccato con i relativi rischi per il materiale ivi contenuto e per tutto il lavoro retrostante (i cui risultati ed elaborazioni sono archiviati nel server vittima). Secondo Derek Robert Price, responsabile CVS, l’attacco non può però provenire dalla rete Internet ma bensì solo da VPN (Virtual Private Networks). Lo stesso Price, inoltre, respinge ogni accusa sottolineando come sarebbe sempre stato ammesso che CVS non sia un sistema totalmente sicuro: «abbiamo mai fatto giri di parole in proposito».

Da parte dei responsabili CVS è già sopraggiunto un upgrade risolutivo (versione 1.11.17) ed il vendor SuSe ha già provveduto al proprio aggiornamento. L’upgrade per le altre distribuzioni è atteso nel giro di pochi giorni.