CVS et Subversion sont les deux outils de gestion du code source les plus utilisés dans la communauté open-source (et par de nombreux développements commerciaux aussi !).Ils permettent à de nombreux développeurs de travailler sur le même projet tout en assurant la cohérence du code source. L’erreur qui vient d’être découverte dans ces outils permettrait de prendre le contrôle à distance d’un serveur de gestion des sources et ainsi d’en modifier le contenu. Bien que le risque soit réel, il est à relativiser : dans la pratique les projets open-source les plus en vue se protègent de ce type d’attaque à l’aide de systèmes capables de détecter les modifications des sources les plus suspectes. Cela a par exemple été le cas pour le noyau de Linux et le projet Linux Gentoo l’an dernier.L’erreur publiée hier se cache dans un simple bit, pourtant la plus petite unité de mesure informatique qui soit ! Ce bit est ajouté aux lignes de code lorsqu’elles sont soumises au serveur CVS. Son rôle est de permettre, ultérieurement, de faire la différence entre les lignes du code source modifiées et les autres. Oui mais voilà… il est possible de rajouter ce bit presque indéfiniment, ce qui provoque à terme l’écrasement de zones mémoire bien choisies.L’exploitation de cette vulnérabilité n’est pas triviale (elle paraît cependant plus simple à réaliser sur Subversion que sur CVS) mais tout de même bien réelle. Un correctif a été publié et tous les projets open-source majeurs ont mis leur infrastructure CVS à jour. Reste à convaincre les plus petits !