Se podía tomar el control de cualquier repositorio en GNU Savannah sin que nadie lo notara — la vulnerabilidad permaneció oculta en el código durante dos años
… y nadie lo imaginaba.
La Fundación para el Software Libre informó sobre una vulnerabilidad crítica en GNU Savannah, el alojamiento de proyectos GNU y de otro software libre. El problema podría haber permitido a un atacante obtener el control de los repositorios alojados y modificar su contenido.
Los especialistas de la fundación prepararon un exploit operativo, pero por ahora no revelan los detalles técnicos. Prometen publicar la descripción completa dentro de 30 días. La vulnerabilidad fue descubierta a principios de mayo; estuvo en el código durante aproximadamente dos años y ya ha sido corregida.
No hay indicios de explotación hasta ahora. La fundación no encontró rastros de manipulación de código, de adición de dependencias maliciosas ni de acceso a las cuentas de los desarrolladores. Sin embargo, se aconseja a los usuarios de GNU Savannah que verifiquen los repositorios en busca de commits inusuales, cambios en archivos y otra actividad sospechosa.
GNU Savannah funciona sobre la plataforma Savane. En su repositorio público la última modificación data de febrero, aunque según la fundación la propia vulnerabilidad ya ha sido corregida.
El alojamiento sigue utilizándose para el desarrollo de herramientas GNU. La Fundación para el Software Libre otorgó a GNU Savannah la calificación A por el cumplimiento de los requisitos de privacidad, libertad del software y copyleft. No obstante, la plataforma sigue siendo muy conservadora: por ejemplo, el sitio prescinde de JavaScript y en cuanto a las capacidades de colaboración en el desarrollo es claramente inferior a GitHub y GitLab.