作者： ZDNet China
Friday, June 11 2004 2:38 PM

ZDNet China 6月11日专稿（文/Robert Lemos）：安全研究人员在开放源代码最受
欢迎的程序开发版本管控程序Concurrent Versions System（CVS ）当中，发现最
少六个以上的漏洞。

根据CVS 专案的一位代表指出，安全漏洞可能让黑客取得CVS 服务器的主控权，让
存盘源代码的暴露在风险之下。安全漏洞是上个月找出类似问题之后，进一步分析
的结果。

安全漏洞也突显了CVS 专案版本管理员Derek Robert Price所强调，开发团队不应
直接把源代码放在网络上，程序存盘应该储存在私有的区域网络或虚拟私有网络上
的说法。Price 是CVS 专案的三位维护人之一。

Price 表示，“我们一直都在讲CVS 并不是一个安全的系统，我们从来没有打算没
模糊这个问题。”

包括Apache Foundation 的Apache网页服务器，GNOME 和KED 的桌面系统，都使用
CVS 管理程序的开发。CVS 提供程序开发人员检查源代码变动，并追踪发展中不同
版本的功能。

采用CVS 的主要专案，都已经在5 月28日时收到通知。安全漏洞则在星期三时公布
。

大部分的安全漏洞是由两位研究人员，在调查安全漏洞修补程序时所发现。其中一
位安全人员Stefan Esser，也正是发现前一个安全漏洞的专家。因为有恶意人士试
图侵入CVS 专案服务器，并发送电子邮件声称取得存取权，所以CVS 的安全问题也
变得更严重。Price 表示， CVS 专案已经卸载该服务器，并准备分析文件找出攻
击证据。

CVS 专案已经发布安全漏洞的修补程序，SuSE Linux也发布了修补程序，至于其他
主要的Linux 厂商，预计在本周也将发布修补程序。（黄晨哲