Six failles sont détectées dans l’Open source CVS

CVS (

Concurrent versions system) est un outil ‘Open source’ qui trace et gère les changements dans le code de l’ordinateur. Il est très répandu car utilisé par un nombre important de développeurs. On le retrouve sur de nombreux projets ‘Open source’ ou propriétaires. Six failles critiques de sécurité ont été découvertes. Elles permettent des attaques à distance pour lancer des ‘dénis de service’ ou exécuter du code malveillant sur des systèmes qui hébergent une version vulnérable de CVS. C’est la seconde alerte en deux semaines sur CVS, après qu’une première faille a été exploitée pour « hacker » le site Web du projet CVS. Il est plus que probable que le code piraté à cette occasion sera rapidement exploité par des hackers. Les experts ont plus particulièrement retenu la faille dans la fonction ‘double-free()‘ que l’on retrouve sur de nombreux systèmes qui fonctionnent sous linux. La course est lancée, entre l’installation de la mise à jour proposée sur le site du projet CVS et les pirates de tout poil en train de chercher à exploiter rapidement les failles qui s’offrent à eux. La vulnérabilité de l’open source et de Linux

Cette alerte sur CVS démontre une nouvelle fois la vulnérabilité des projets ‘Open source’, ainsi que de Linux qui s’appuie généralement sur ce modèle économique, et que l’ouverture du code tend à amplifier.

De nombreuses vulnérabilités ont été découvertes ces dernières années, mais certains membres de la communauté ‘Open source’ semblent vouloir les occulter, alors que le risque est réel. L’accès aux sources d’un programme, d’un environnement de programmation ou d’un système d’exploitation est logiquement une porte ouverte à des détournements malveillants, amplifiés par la compétence des ‘hackers’. Quelques soient le système et l’environnement, la prudence s’impose. Personne n’est à l’abri.