[Date Prev][Date Next][Thread Prev][][Date Index][Thread Index]

CVS service has been restored



Hi,

We, emacs-w3m developers, have inspected the CVS repository of
emacs-w3m, and are glad to inform you that our CVS repository had not
been compromised by a cracker.

The inspection of the repository were carried in two ways.

The first way is based on the local reliable backups of the
repository.  I, TSUCHIYA Masatoshi, made a local copy of the
repository with cvsup, and made its daily backups on my local
hadrdisk.  I restored an old repository at May 22 2004 which was the
day before cracking from backup data, and compared it with the newest
repository which was recovered from karin.namazu.org.  Several
differences were found, but all of them were reasonable.  For example,
several empty lines had been inserted by cvsup, and some legal changes
were installed from May 21 2004 to May 25 2004.  Therefore, I suppose
that the newest repository is not tainted.

The second way is based on local working copies of developers.  Two
developers, Katsumi Yamaoka and ARISAWA Akihiro, compared the source
extracted from the newest repository with their local working copies.
They found no illegal changes between them.

Because of these independent inspections, we conclude that our
repository has not been compromised by a cracker.  So, we have
restored CVS service.

Following texts are Japanese translation of the above texts.

emacs-w3m の開発グループは CVS レポジトリの監査を完了しました.そして,
私たちのレポジトリがクラッカーによって汚染されていなかったことを報告し
ます.

CVS レポジトリの査察は2通りの方法で行われました.

第1の方法は,信頼できるバックアップに基づく方法です.私(土屋)は,cvsup 
でレポジトリを手元にコピーして,そのバックアップを個人のハードディスク
上に作成していました.2004年5月22日,つまりクラックの前の日のレポジト
リをバックアップデータから取り出して,karin.namazu.org から取り出され
た最新のレポジトリと比較しました.幾つかの差異が見つかりましたが,全て
は筋の通った差異でした.例えば,cvsup によって挿入された空行であったり,
5月21日から25日までの間に実施された合法的な変更などです.そういうわけ
で,私は最新のレポジトリが汚染されていないと考えます.

第2の方法は,開発者の保持している作業用のコピーに基づく方法です.2人の
開発者(山岡さんと有沢さん)が,最新のレポジトリから取り出されたソースと,
彼らの作業用のコピーを比較しました.そして,おかしな変更は見つかりませ
んでした.

これらの2つの独立に行われた査察により,レポジトリはクラッカーによって
汚染されていない,と結論できます.そういうわけで,CVSサービスは復旧さ
れました.

-- 
TSUCHIYA Masatoshi

Attachment: pgp00020.pgp
Description: PGP signature