Desbordamiento de heap en CVS permite la ejecución remota de código
Se ha descubierto una vulnerabilidad en CVS que permitiría a un usuario malicioso comprometer un sistema afectado.
CVS (Concurrent Versions System) es un popular sistema de control de versiones que permite a los programadores acceder a las últimas versiones del código con el que trabajan a través de la red.
Tanto la versión en desarrollo 1.12.7 y anteriores como la estable 1.12.7 (y anteriores también) se ven afectadas por esta vulnerabilidad, que se debe a un error contenido en el código que decide si una línea de entrada a CVS debe llevar un marcador de modificado o sin cambios. Este error puede ser aprovechado para provocar un desbordamiento de heap, que a su vez puede utilizarse para ejecutar código arbitrario en un servidor CVS, lo que podría llevar a comprometer todo un repositorio de software.
Diversas distribuciones de Linux y Unix ya han publicado una actualización para este software, entre las que se encuentran Debian, Red Hat, Gentoo, SuSE y FreeBSD.