安全漏洞審計和軟件風(fēng)險管理公司Palamida稱，該公司在2007年對3億行代碼進(jìn)行審查之后發(fā)現(xiàn)了用戶在其開源軟件代碼中最容易忽略的五個安全漏洞。

　　這五個最容易忽略的安全漏洞僅按照字母排列，安全公司并不打算按照使用的頻率排名。Palamida的列表反映了已知的安全漏洞的出現(xiàn)和被修復(fù)的情況。

　　筆者以為，開源軟件代碼不再比商業(yè)軟件更安全，在某些情況下，開源軟件的安全性無法保證。專家表示，開源軟件項目應(yīng)該承認(rèn)自己的安全漏洞并且盡快修復(fù)這些安全漏洞。下面是容易忽略的五個安全漏洞：

　　1.Geronimo 2.0

這個Apache的應(yīng)用服務(wù)器軟件在其登錄模塊中存在一個安全漏洞，讓遠(yuǎn)程攻擊者能夠繞過身份識別要求，部署一個替代的惡意軟件代碼模塊，并且獲得訪問這個服務(wù)器應(yīng)用程序的管理員權(quán)限。Palamida報告稱，這個訪問權(quán)限是通過使用Geronimo部署模塊中的命令行發(fā)送一個空白的用戶名和口令獲得的。一個空白的用戶名和口令應(yīng)該引起Geronimo 2.0中的“FailedLoginException”訪問控制模塊做出反應(yīng)，但是，它卻沒有反應(yīng)。



　　修復(fù)這個安全漏洞的補(bǔ)丁網(wǎng)址是：https://issues.apache.org/jira/secure/attachment/12363723/GERONIMO-3404.patch.

　　Geronimo與Red Hat的JBoss以及其它開源軟件應(yīng)用服務(wù)器展開競爭。

2.JBoss應(yīng)用服務(wù)器

JBoss應(yīng)用服務(wù)器3.2.4至4.0.5版的“DeploymentFileRepository”類中有一個目錄遍歷安全漏洞”。這家公司12月7日的報告做出的結(jié)論稱，這個安全漏洞允許遠(yuǎn)程身份識別的用戶讀取或者修改任意文件并且可能執(zhí)行任意代碼。



　　修復(fù)這個安全漏洞的補(bǔ)丁的地址是：http://jira.jboss.com/jira/browse/ASPATCH-126.

3.LibTiff開源軟件庫：

這個庫是用于讀寫TIFF(標(biāo)簽圖像文件格式)格式文件的。3.8.2版本以前的LibTiff 庫包含一個命令行工具，可在Linux和Unix系統(tǒng)中操作TIFF圖像文件，許多Linux發(fā)布版軟件中都有這個工具。

　　使用3.8.2版本以前的LibTiff 庫能夠讓依賴上下文的攻擊者通過數(shù)字范圍的檢查并且通過一個TIFF目錄中的大型補(bǔ)償值執(zhí)行代碼。這個大型補(bǔ)償值可能導(dǎo)致一個整數(shù)溢出安全漏洞或者其它意想不到的結(jié)果，構(gòu)成沒有檢查的算術(shù)操作。

　　這個補(bǔ)丁的地址是：http://security.debian.org/pool/updates/main/t/tiff/tiff_3.7.2.orig.tar.gz.

　　4.Net-SNMP：

這個安全漏洞存在于Net-SNMP或者應(yīng)用SNMP(簡單網(wǎng)絡(luò)管理協(xié)議)協(xié)議的程序中。1.0、2c和3.0版本的Net-SNMP協(xié)議都存在安全漏洞。當(dāng)以“master agentx”模式運行Net-SNMP的時候，這個軟件能夠讓遠(yuǎn)程攻擊者通過引起一個特定的TCP連接中斷實施拒絕服務(wù)攻擊，造成系統(tǒng)崩潰。中斷TCP連接可產(chǎn)生一個不正確的變量。



　　這個補(bǔ)丁的網(wǎng)址是：http://downloads.sourceforge.net/net-snmp/net-snmp-5.4.1.zip?modtime=1185535864&big_mirror=1.

5.Zlib：

Zlib是一個用于數(shù)據(jù)壓縮的軟件庫。Zlib 1.2和以后版本的軟件能夠讓遠(yuǎn)程攻擊者引起拒絕服務(wù)攻擊。這個攻擊旨在使用一個不完整的代碼解釋一個長度大于1的代碼，從而引起緩存溢出漏洞。



　　這個補(bǔ)丁包含zlib 1.2.3版升級軟件，地址是：www.zlib.net/zlib-1.2.3.tar.gz.

　　事實是，這些安全漏洞的存在并不意味著任何人都應(yīng)該停止使用開源軟件代碼。IT專家網(wǎng)提醒用戶應(yīng)該使用安全漏洞補(bǔ)丁或者升級到這些軟件的穩(wěn)定版本。

最新評論