ахтунг!
я тока что в дебиан/woody cvs нашел злостный баг :)
если настроить pserver так, что CVSROOT/passwd сопоставляет юзеру cvs-a реального юзера и этот юзер есть в /etc/cvs-repouids, то пароль нифига не проверяется! :)
достаточно знать логин чувака и можно из-под него лазить по cvs
ищем woody серверы с доступным cvs и ломаем ;))

P.S.: это не призыв к антизаконным действиям, а ШУТКА! %)