Фонд свободного ПО сообщил о выявлении критической уязвимости в хостинге свободного кода GNU Savannah, позволяющей скомпрометировать размещённые репозитории проектов. Продемонстрирован рабочий эксплоит. Следов использования уязвимости для атаки на код, подстановки вредоносных зависимостей или получения доступа к учётным записям не выявлено, но разработчикам, использующим GNU Savannah, рекомендуется убедиться в отсутствии подозрительной активности в их репозиториях.
Детали о сути уязвимости планируют опубликовать через 30 дней. Указано, что проблема была выявлена в начале мая, присутствовала в коде два года и в настоящее время устранена. В публично доступном коде платформы Savane, на которой построен хостинг GNU Savannah, последние изменение внесено в феврале.
GNU Savannah продолжает использоваться для разработки инструментов GNU, а также является единственным хостингом, которому Фонд СПО присвоил рейтинг «A», указывающий на соответствие наивысшим требованиям по обеспечению приватности, свободы и копилефта. С другой стороны Savannah остаётся самым консервативным хостингом СПО (например, не использует JavaScript) и существенно проигрывает современным платформам совместной разработки, таким как GitHub и GitLab, с точки зрения удобства работы с кодом.
Source: opennet.ru
