- 27,682
- 46
- 8 Ноя 2022
… и никто об этом не подозревал.
Фонд свободного ПО сообщил о критической уязвимости в GNU Savannah, хостинге проектов GNU и другого свободного ПО. Проблема могла позволить атакующему получить контроль над размещенными репозиториями и изменить их содержимое.
Специалисты фонда подготовили рабочий эксплоит, но пока не раскрывают технические детали. Полное описание обещают опубликовать через 30 дней. Уязвимость обнаружили в начале мая, она находилась в коде около двух лет и уже устранена.
Признаков эксплуатации пока нет. Фонд не нашел следов подмены кода , добавления вредоносных зависимостей или доступа к учетным записям разработчиков. Тем не менее пользователям GNU Savannah советуют проверить репозитории на необычные коммиты, изменения файлов и другую подозрительную активность.
GNU Savannah работает на платформе Savane. В ее открытом репозитории последнее изменение датировано февралем, хотя сама уязвимость, по данным фонда, уже исправлена.
Хостинг продолжает использоваться для разработки инструментов GNU. Фонд свободного ПО присвоил GNU Savannah рейтинг A за соблюдение требований к приватности, свободе программ и копилефту. При этом платформа остается очень консервативной: например, сайт обходится без JavaScript и по возможностям совместной разработки заметно уступает GitHub и GitLab.
Фонд свободного ПО сообщил о критической уязвимости в GNU Savannah, хостинге проектов GNU и другого свободного ПО. Проблема могла позволить атакующему получить контроль над размещенными репозиториями и изменить их содержимое.
Специалисты фонда подготовили рабочий эксплоит, но пока не раскрывают технические детали. Полное описание обещают опубликовать через 30 дней. Уязвимость обнаружили в начале мая, она находилась в коде около двух лет и уже устранена.
Признаков эксплуатации пока нет. Фонд не нашел следов подмены кода , добавления вредоносных зависимостей или доступа к учетным записям разработчиков. Тем не менее пользователям GNU Savannah советуют проверить репозитории на необычные коммиты, изменения файлов и другую подозрительную активность.
GNU Savannah работает на платформе Savane. В ее открытом репозитории последнее изменение датировано февралем, хотя сама уязвимость, по данным фонда, уже исправлена.
Хостинг продолжает использоваться для разработки инструментов GNU. Фонд свободного ПО присвоил GNU Savannah рейтинг A за соблюдение требований к приватности, свободе программ и копилефту. При этом платформа остается очень консервативной: например, сайт обходится без JavaScript и по возможностям совместной разработки заметно уступает GitHub и GitLab.
- Источник новости
- www.securitylab.ru
