最容易被忽略的五個開源軟件安全漏洞

安全漏洞審計和軟件風(fēng)險管理公司Palamida稱,該公司在2007年對3億行代碼進(jìn)行審查之后發(fā)現(xiàn)了用戶在其開源軟件代碼中最容易忽略的五個安全漏洞。
這五個最容易忽略的安全漏洞僅按照字母排列,安全公司并不打算按照使用的頻率排名。Palamida的列表反映了已知的安全漏洞的出現(xiàn)和被修復(fù)的情況。
筆者以為,開源軟件代碼不再比商業(yè)軟件更安全,在某些情況下,開源軟件的安全性無法保證。專家表示,開源軟件項目應(yīng)該承認(rèn)自己的安全漏洞并且盡快修復(fù)這些安全漏洞。下面是容易忽略的五個安全漏洞:
1.Geronimo 2.0
這個Apache的應(yīng)用服務(wù)器軟件在其登錄模塊中存在一個安全漏洞,讓遠(yuǎn)程攻擊者能夠繞過身份識別要求,部署一個替代的惡意軟件代碼模塊,并且獲得訪問這個服務(wù)器應(yīng)用程序的管理員權(quán)限。Palamida報告稱,這個訪問權(quán)限是通過使用Geronimo部署模塊中的命令行發(fā)送一個空白的用戶名和口令獲得的。一個空白的用戶名和口令應(yīng)該引起Geronimo 2.0中的“FailedLoginException”訪問控制模塊做出反應(yīng),但是,它卻沒有反應(yīng)。
修復(fù)這個安全漏洞的補(bǔ)丁網(wǎng)址是:https://issues.apache.org/jira/secure/attachment/12363723/GERONIMO-3404.patch.
Geronimo與Red Hat的JBoss以及其它開源軟件應(yīng)用服務(wù)器展開競爭。
2.JBoss應(yīng)用服務(wù)器
JBoss應(yīng)用服務(wù)器3.2.4至4.0.5版的“DeploymentFileRepository”類中有一個目錄遍歷安全漏洞”。這家公司12月7日的報告做出的結(jié)論稱,這個安全漏洞允許遠(yuǎn)程身份識別的用戶讀取或者修改任意文件并且可能執(zhí)行任意代碼。
修復(fù)這個安全漏洞的補(bǔ)丁的地址是:http://jira.jboss.com/jira/browse/ASPATCH-126.
3.LibTiff開源軟件庫:
這個庫是用于讀寫TIFF(標(biāo)簽圖像文件格式)格式文件的。3.8.2版本以前的LibTiff 庫包含一個命令行工具,可在Linux和Unix系統(tǒng)中操作TIFF圖像文件,許多Linux發(fā)布版軟件中都有這個工具。
使用3.8.2版本以前的LibTiff 庫能夠讓依賴上下文的攻擊者通過數(shù)字范圍的檢查并且通過一個TIFF目錄中的大型補(bǔ)償值執(zhí)行代碼。這個大型補(bǔ)償值可能導(dǎo)致一個整數(shù)溢出安全漏洞或者其它意想不到的結(jié)果,構(gòu)成沒有檢查的算術(shù)操作。
這個補(bǔ)丁的地址是:http://security.debian.org/pool/updates/main/t/tiff/tiff_3.7.2.orig.tar.gz.
4.Net-SNMP:
這個安全漏洞存在于Net-SNMP或者應(yīng)用SNMP(簡單網(wǎng)絡(luò)管理協(xié)議)協(xié)議的程序中。1.0、2c和3.0版本的Net-SNMP協(xié)議都存在安全漏洞。當(dāng)以“master agentx”模式運行Net-SNMP的時候,這個軟件能夠讓遠(yuǎn)程攻擊者通過引起一個特定的TCP連接中斷實施拒絕服務(wù)攻擊,造成系統(tǒng)崩潰。中斷TCP連接可產(chǎn)生一個不正確的變量。
這個補(bǔ)丁的網(wǎng)址是:http://downloads.sourceforge.net/net-snmp/net-snmp-5.4.1.zip?modtime=1185535864&big_mirror=1.
5.Zlib:
Zlib是一個用于數(shù)據(jù)壓縮的軟件庫。Zlib 1.2和以后版本的軟件能夠讓遠(yuǎn)程攻擊者引起拒絕服務(wù)攻擊。這個攻擊旨在使用一個不完整的代碼解釋一個長度大于1的代碼,從而引起緩存溢出漏洞。
這個補(bǔ)丁包含zlib 1.2.3版升級軟件,地址是:www.zlib.net/zlib-1.2.3.tar.gz.
事實是,這些安全漏洞的存在并不意味著任何人都應(yīng)該停止使用開源軟件代碼。IT專家網(wǎng)提醒用戶應(yīng)該使用安全漏洞補(bǔ)丁或者升級到這些軟件的穩(wěn)定版本。
相關(guān)文章
2019最新RDP遠(yuǎn)程桌面漏洞官方補(bǔ)丁(針對win2003、win2008)
Windows系列服務(wù)器于2019年5月15號,被爆出高危漏洞,windows2003、windows2008、windows2008 R2、windows xp系統(tǒng)都會遭到攻擊,該服務(wù)器漏洞利用方式是通過遠(yuǎn)程桌面端口332021-07-25寶塔面板 phpmyadmin 未授權(quán)訪問漏洞 BUG ip:888/pma的問題分析
這篇文章主要介紹了寶塔面板 phpmyadmin 未授權(quán)訪問漏洞 BUG ip:888/pma,本文給大家介紹的非常詳細(xì),對大家的學(xué)習(xí)或工作具有一定的參考借鑒價值,需要的朋友可以參考下2020-08-24CPU幽靈和熔斷漏洞是什么?Intel為大家簡單易懂的科普了一番
不久前讓整全行業(yè)緊張、全球用戶恐慌的Spectre幽靈、Meltdown熔斷兩大漏洞事件剛剛告一段落了,那么這兩個漏洞到底是什么?可能還有很多人不是很清楚,想了解的朋友跟著小2018-03-21- 2017年5月12日,WannaCry蠕蟲通過MS17-010漏洞在全球范圍大爆發(fā),感染了大量的計算機(jī),該蠕蟲感染計算機(jī)后會向計算機(jī)中植入敲詐者病毒,導(dǎo)致電腦大量文件被加密,本文對其2017-05-17
- 大部分的用戶可能不要了解文件上傳漏洞,下面小編就為大家具體的講解什么事文件上傳漏洞以及文件上傳漏洞的幾種方式2016-11-02
- 漏洞檢測工具用語有高危漏洞,中危漏洞,低危漏洞以及漏洞的危害介紹,本文介紹的非常詳細(xì),具有參考解決價值,感興趣的朋友一起看看吧2016-10-11
- 漏洞無處不在,它是在硬件、軟件、協(xié)議的具體實現(xiàn)或系統(tǒng)安全策略上存在的缺陷,從而可以使攻擊者能夠在未授權(quán)的情況下訪問或破壞系統(tǒng)2016-09-29
手把手教你如何構(gòu)造Office漏洞POC(以CVE-2012-0158為例)
近年來APT追蹤盛行,最常見的就是各種以釣魚開始的攻擊,不僅僅有網(wǎng)站掛馬式釣魚,也有魚叉式郵件釣魚,下面小編就為大家介紹office漏洞CVE-2012-0158,一起來看看吧2016-09-28- SSL(安全套接字層)逐漸被大家所重視,但是最不能忽視的也是SSL得漏洞,隨著SSL技術(shù)的發(fā)展,新的漏洞也就出現(xiàn)了,下面小編就為大家介紹簡單七步教你如何解決關(guān)鍵SSL安全問題2016-09-23
Python 爬蟲修養(yǎng)-處理動態(tài)網(wǎng)頁
在爬蟲開發(fā)中,大家可以很輕易地 bypass 所謂的 UA 限制,甚至用 scrapy 框架輕易實現(xiàn)按照深度進(jìn)行爬行。但是實際上,這些并不夠。關(guān)于爬蟲的基礎(chǔ)知識比如數(shù)據(jù)處理與數(shù)據(jù)存2016-09-12