オープンソースのバージョン管理ツール「CVS(Concurrent Versions System)」の公式サイトであるcvshome.orgなどは4月18日,CVS 1.11.19以前(1.11.19を含む)に複数のセキュリティ・ホールが存在することを明らかにした。悪用されると,CVSを稼働させているサーバー上で任意のプログラムを実行されたり,CVSを停止されたりする可能性がある。対策は,最新版CVS 1.11.20にバージョンアップすること。
セキュリティ・ホール情報をまとめているデンマークSecuniaによると,今回明らかになったセキュリティ・ホールは4種類。バッファ・オーバーフローやメモリー・リークなどに関するセキュリティ・ホールである。悪用されると,任意のプログラムを実行されたり,DoS(サービス妨害)攻撃を許す可能性がある。
対策は,セキュリティ・ホールを修正したCVS 1.11.20にバージョンアップすること。cvshome.orgのダウンロード・ページから入手できる。また,OSベンダー各社はアップデートを公開している。例えば,SUSE Linux用やGentoo Linux用のアップデート・パッケージが公開されている。
◎参考資料
◆Update and regenerate for CVS 1.11.20.
◆ccvs ファイルの共有
◆Stable CVS Version 1.11.20 Released! * Security Update *
◆SUSE Security Announcement
◆CVS: Multiple vulnerabilities
(勝村 幸博=IT Pro)
