Фонд СПО предупредил о критической уязвимости в хостинге свободного кода GNU Savannah

20.06.2026 11:45 (MSK)

Фонд свободного ПО сообщил о выявлении критической уязвимости в хостинге свободного кода GNU Savannah, позволяющей скомпрометировать размещённые репозитории проектов. Продемонстрирован рабочий эксплоит. Следов использования уязвимости для атаки на код, подстановки вредоносных зависимостей или получения доступа к учётным записям не выявлено, но разработчикам, использующим GNU Savannah, рекомендуется убедиться в отсутствии подозрительной активности в их репозиториях.

Детали о сути уязвимости планируют опубликовать через 30 дней. Указано, что проблема была выявлена в начале мая, присутствовала в коде два года и в настоящее время устранена. В публично доступном коде платформы Savane, на которой построен хостинг GNU Savannah, последние изменение внесено в феврале.

GNU Savannah продолжает использоваться для разработки инструментов GNU, а также является единственным хостингом, которому Фонд СПО присвоил рейтинг "A", указывающий на соответствие наивысшим требованиям по обеспечению приватности, свободы и копилефта. С другой стороны Savannah остаётся самым консервативным хостингом СПО (например, не использует JavaScript) и существенно проигрывает современным платформам совместной разработки, таким как GitHub и GitLab, с точки зрения удобства работы с кодом.

исправить +1 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/65730-savannah

Ключевые слова: savannah

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (12)

1.1, Аноним (1), 11:52, 20/06/2026 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ] [к модератору]	+1 +/–

1.2, q (ok), 12:09, 20/06/2026 [ответить] [﹢﹢﹢] [ · · · ]	+3 +/–
Соболезную всем тем, кто ведет проекты в "savannah." К счастью, таких людей наверняка не больше сотни.

2.3, Советский Человек (-), 12:45, 20/06/2026 Скрыто ботом-модератором [к модератору]	+/–

1.4, Аноним (4), 12:45, 20/06/2026 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Темный пиар тоже пиар. Нужно потыкать, возможно оно живое.

2.9, Аноним (1), 13:49, 20/06/2026 [^] [^^] [^^^] [ответить]	+/–
Весёлый хостинг, и фичи у него полезные.

1.5, ИмяХ (ok), 13:15, 20/06/2026 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
>>хостинге свободного кода GNU Savannah, позволяющей скомпрометировать размещённые репозитории проектов Явное противоречие. Как можно скомпрометировать то, что и так свободно?

1.6, Аноним (6), 13:22, 20/06/2026 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
какой ужас! Теперь Фонд свободного ПО засудят?

2.11, Аноним (1), 13:50, 20/06/2026 [^] [^^] [^^^] [ответить]	+/–
Зависит от юрисдикции владельца. Вот был бы хостинг Хуавея - тогда бы точно.

1.7, Аноним (7), 13:27, 20/06/2026 [ответить] [﹢﹢﹢] [ · · · ]	–2 +/–
Хм, даже не знаю, то ли дело в качестве кода GNU проектов. То ли в том что это дрыcтня Shell + C. Зато совершенно не аффилированный фондик поставил ему "рейтинг "A", указывающий на соответствие наивысшим требованиям по обеспечению приватности, свободы и копилефта" Что логично, так как безопасность и корректность кода в списке не указаны.

2.8, ИмяХ (ok), 13:31, 20/06/2026 [^] [^^] [^^^] [ответить]	+/–
Безопасность и корректность всегда реализуется какими-либо ограничениями, а это противоречит свободе.

2.10, Аноним (10), 13:50, 20/06/2026 [^] [^^] [^^^] [ответить]	+1 +/–
Это старый репозиторий SF. Написан на пхп.

1.12, Аноним (10), 13:53, 20/06/2026 [ответить] [﹢﹢﹢] [ · · · ]

+/–

>и существенно проигрывает современным платформам совместной разработки, таким как GitHub и GitLab, с точки зрения удобства работы с кодом

GitHub и Gitlab не про работу с кодом, а про то, чтобы тебя взяли на работу.

Настоящее удобство работы с кодом было у Sourcehut, где веб-формочки были лишь мордой к мейллисту и скана паспорта для работы не требовали.

игнорирование участников | лог модерирования

Добавить комментарий

Текст: