安全漏洞審計和軟件風險管理公司Palamida稱，該公司在2007年對3億行代碼進行審查之后發(fā)現(xiàn)了用戶在其開源軟件代碼中最容易忽略的五個安全漏洞。

　　這五個最容易忽略的安全漏洞僅按照字母排列，安全公司并不打算按照使用的頻率排名。Palamida的列表反映了已知的安全漏洞的出現(xiàn)和被修復的情況。

　　筆者以為，開源軟件代碼不再比商業(yè)軟件更安全，在某些情況下，開源軟件的安全性無法保證。專家表示，開源軟件項目應該承認自己的安全漏洞并且盡快修復這些安全漏洞。下面是容易忽略的五個安全漏洞：

　　1.Geronimo 2.0

這個Apache的應用服務器軟件在其登錄模塊中存在一個安全漏洞，讓遠程攻擊者能夠繞過身份識別要求，部署一個替代的惡意軟件代碼模塊，并且獲得訪問這個服務器應用程序的管理員權限。Palamida報告稱，這個訪問權限是通過使用Geronimo部署模塊中的命令行發(fā)送一個空白的用戶名和口令獲得的。一個空白的用戶名和口令應該引起Geronimo 2.0中的“FailedLoginException”訪問控制模塊做出反應，但是，它卻沒有反應。



　　修復這個安全漏洞的補丁網(wǎng)址是：https://issues.apache.org/jira/secure/attachment/12363723/GERONIMO-3404.patch.

　　Geronimo與Red Hat的JBoss以及其它開源軟件應用服務器展開競爭。

2.JBoss應用服務器

JBoss應用服務器3.2.4至4.0.5版的“DeploymentFileRepository”類中有一個目錄遍歷安全漏洞”。這家公司12月7日的報告做出的結論稱，這個安全漏洞允許遠程身份識別的用戶讀取或者修改任意文件并且可能執(zhí)行任意代碼。



　　修復這個安全漏洞的補丁的地址是：http://jira.jboss.com/jira/browse/ASPATCH-126.

3.LibTiff開源軟件庫：

這個庫是用于讀寫TIFF(標簽圖像文件格式)格式文件的。3.8.2版本以前的LibTiff 庫包含一個命令行工具，可在Linux和Unix系統(tǒng)中操作TIFF圖像文件，許多Linux發(fā)布版軟件中都有這個工具。

　　使用3.8.2版本以前的LibTiff 庫能夠讓依賴上下文的攻擊者通過數(shù)字范圍的檢查并且通過一個TIFF目錄中的大型補償值執(zhí)行代碼。這個大型補償值可能導致一個整數(shù)溢出安全漏洞或者其它意想不到的結果，構成沒有檢查的算術操作。

　　這個補丁的地址是：http://security.debian.org/pool/updates/main/t/tiff/tiff_3.7.2.orig.tar.gz.

　　4.Net-SNMP：

這個安全漏洞存在于Net-SNMP或者應用SNMP(簡單網(wǎng)絡管理協(xié)議)協(xié)議的程序中。1.0、2c和3.0版本的Net-SNMP協(xié)議都存在安全漏洞。當以“master agentx”模式運行Net-SNMP的時候，這個軟件能夠讓遠程攻擊者通過引起一個特定的TCP連接中斷實施拒絕服務攻擊，造成系統(tǒng)崩潰。中斷TCP連接可產(chǎn)生一個不正確的變量。



　　這個補丁的網(wǎng)址是：http://downloads.sourceforge.net/net-snmp/net-snmp-5.4.1.zip?modtime=1185535864&big_mirror=1.

5.Zlib：

Zlib是一個用于數(shù)據(jù)壓縮的軟件庫。Zlib 1.2和以后版本的軟件能夠讓遠程攻擊者引起拒絕服務攻擊。這個攻擊旨在使用一個不完整的代碼解釋一個長度大于1的代碼，從而引起緩存溢出漏洞。



　　這個補丁包含zlib 1.2.3版升級軟件，地址是：www.zlib.net/zlib-1.2.3.tar.gz.

　　事實是，這些安全漏洞的存在并不意味著任何人都應該停止使用開源軟件代碼。IT專家網(wǎng)提醒用戶應該使用安全漏洞補丁或者升級到這些軟件的穩(wěn)定版本。

最新評論