自由軟體基金會宣布發現 GNU Savannah 自由代碼託管服務存在一個嚴重漏洞,該漏洞可能導致託管的專案倉庫遭到入侵。目前已演示了可利用的漏洞利用方法。雖然尚未發現漏洞被用於攻擊程式碼、植入惡意依賴項或取得帳戶存取權限的證據,但建議使用 GNU Savannah 的開發者確保其程式碼倉庫中不存在任何可疑活動。
Детали о сути уязвимости планируют опубликовать через 30 дней. Указано, что проблема была выявлена в начале мая, присутствовала в коде два года и в настоящее время устранена. В публично доступном коде платформы Savane, на которой построен 託管 GNU Savannah, последние изменение внесено в феврале.
GNU Savannah 仍然用於 GNU 工具的開發,並且是唯一獲得自由軟體基金會「A」級評級的託管服務,這表明它符合隱私、自由和版權保護的最高標準。另一方面,Savannah 仍然是最保守的自由軟體託管服務(例如,它不使用 JavaScript),並且在程式碼可用性方面明顯遜於 GitHub 和 GitLab 等現代協作開發平台。
來源: opennet.ru
