Hi, We, emacs-w3m developers, have inspected the CVS repository of emacs-w3m, and are glad to inform you that our CVS repository had not been compromised by a cracker. The inspection of the repository were carried in two ways. The first way is based on the local reliable backups of the repository. I, TSUCHIYA Masatoshi, made a local copy of the repository with cvsup, and made its daily backups on my local hadrdisk. I restored an old repository at May 22 2004 which was the day before cracking from backup data, and compared it with the newest repository which was recovered from karin.namazu.org. Several differences were found, but all of them were reasonable. For example, several empty lines had been inserted by cvsup, and some legal changes were installed from May 21 2004 to May 25 2004. Therefore, I suppose that the newest repository is not tainted. The second way is based on local working copies of developers. Two developers, Katsumi Yamaoka and ARISAWA Akihiro, compared the source extracted from the newest repository with their local working copies. They found no illegal changes between them. Because of these independent inspections, we conclude that our repository has not been compromised by a cracker. So, we have restored CVS service. Following texts are Japanese translation of the above texts. emacs-w3m の開発グループは CVS レポジトリの監査を完了しました.そして, 私たちのレポジトリがクラッカーによって汚染されていなかったことを報告し ます. CVS レポジトリの査察は2通りの方法で行われました. 第1の方法は,信頼できるバックアップに基づく方法です.私(土屋)は,cvsup でレポジトリを手元にコピーして,そのバックアップを個人のハードディスク 上に作成していました.2004年5月22日,つまりクラックの前の日のレポジト リをバックアップデータから取り出して,karin.namazu.org から取り出され た最新のレポジトリと比較しました.幾つかの差異が見つかりましたが,全て は筋の通った差異でした.例えば,cvsup によって挿入された空行であったり, 5月21日から25日までの間に実施された合法的な変更などです.そういうわけ で,私は最新のレポジトリが汚染されていないと考えます. 第2の方法は,開発者の保持している作業用のコピーに基づく方法です.2人の 開発者(山岡さんと有沢さん)が,最新のレポジトリから取り出されたソースと, 彼らの作業用のコピーを比較しました.そして,おかしな変更は見つかりませ んでした. これらの2つの独立に行われた査察により,レポジトリはクラッカーによって 汚染されていない,と結論できます.そういうわけで,CVSサービスは復旧さ れました. -- TSUCHIYA Masatoshi
Attachment:
pgp00020.pgp
Description: PGP signature