欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

最容易被忽略的五個開源軟件安全漏洞

互聯(lián)網(wǎng)   發(fā)布時間:2008-10-08 20:03:15   作者:佚名   我要評論
安全漏洞審計和軟件風(fēng)險管理公司Palamida稱,該公司在2007年對3億行代碼進(jìn)行審查之后發(fā)現(xiàn)了用戶在其開源軟件代碼中最容易忽略的五個安全漏洞。   這五個最容易忽略的安全漏洞僅按照字母排列,安全公司并不打算按照使用的頻率排名。Palamida的列表反映了已知的

安全漏洞審計和軟件風(fēng)險管理公司Palamida稱,該公司在2007年對3億行代碼進(jìn)行審查之后發(fā)現(xiàn)了用戶在其開源軟件代碼中最容易忽略的五個安全漏洞。

  這五個最容易忽略的安全漏洞僅按照字母排列,安全公司并不打算按照使用的頻率排名。Palamida的列表反映了已知的安全漏洞的出現(xiàn)和被修復(fù)的情況。

  筆者以為,開源軟件代碼不再比商業(yè)軟件更安全,在某些情況下,開源軟件的安全性無法保證。專家表示,開源軟件項目應(yīng)該承認(rèn)自己的安全漏洞并且盡快修復(fù)這些安全漏洞。下面是容易忽略的五個安全漏洞:

  1.Geronimo 2.0

這個Apache的應(yīng)用服務(wù)器軟件在其登錄模塊中存在一個安全漏洞,讓遠(yuǎn)程攻擊者能夠繞過身份識別要求,部署一個替代的惡意軟件代碼模塊,并且獲得訪問這個服務(wù)器應(yīng)用程序的管理員權(quán)限。Palamida報告稱,這個訪問權(quán)限是通過使用Geronimo部署模塊中的命令行發(fā)送一個空白的用戶名和口令獲得的。一個空白的用戶名和口令應(yīng)該引起Geronimo 2.0中的“FailedLoginException”訪問控制模塊做出反應(yīng),但是,它卻沒有反應(yīng)。



  修復(fù)這個安全漏洞的補(bǔ)丁網(wǎng)址是:https://issues.apache.org/jira/secure/attachment/12363723/GERONIMO-3404.patch.

  Geronimo與Red Hat的JBoss以及其它開源軟件應(yīng)用服務(wù)器展開競爭。

2.JBoss應(yīng)用服務(wù)器

JBoss應(yīng)用服務(wù)器3.2.4至4.0.5版的“DeploymentFileRepository”類中有一個目錄遍歷安全漏洞”。這家公司12月7日的報告做出的結(jié)論稱,這個安全漏洞允許遠(yuǎn)程身份識別的用戶讀取或者修改任意文件并且可能執(zhí)行任意代碼。



  修復(fù)這個安全漏洞的補(bǔ)丁的地址是:http://jira.jboss.com/jira/browse/ASPATCH-126.

3.LibTiff開源軟件庫:

這個庫是用于讀寫TIFF(標(biāo)簽圖像文件格式)格式文件的。3.8.2版本以前的LibTiff 庫包含一個命令行工具,可在Linux和Unix系統(tǒng)中操作TIFF圖像文件,許多Linux發(fā)布版軟件中都有這個工具。

  使用3.8.2版本以前的LibTiff 庫能夠讓依賴上下文的攻擊者通過數(shù)字范圍的檢查并且通過一個TIFF目錄中的大型補(bǔ)償值執(zhí)行代碼。這個大型補(bǔ)償值可能導(dǎo)致一個整數(shù)溢出安全漏洞或者其它意想不到的結(jié)果,構(gòu)成沒有檢查的算術(shù)操作。

  這個補(bǔ)丁的地址是:http://security.debian.org/pool/updates/main/t/tiff/tiff_3.7.2.orig.tar.gz.

  4.Net-SNMP:

這個安全漏洞存在于Net-SNMP或者應(yīng)用SNMP(簡單網(wǎng)絡(luò)管理協(xié)議)協(xié)議的程序中。1.0、2c和3.0版本的Net-SNMP協(xié)議都存在安全漏洞。當(dāng)以“master agentx”模式運行Net-SNMP的時候,這個軟件能夠讓遠(yuǎn)程攻擊者通過引起一個特定的TCP連接中斷實施拒絕服務(wù)攻擊,造成系統(tǒng)崩潰。中斷TCP連接可產(chǎn)生一個不正確的變量。



  這個補(bǔ)丁的網(wǎng)址是:http://downloads.sourceforge.net/net-snmp/net-snmp-5.4.1.zip?modtime=1185535864&big_mirror=1.

5.Zlib:

Zlib是一個用于數(shù)據(jù)壓縮的軟件庫。Zlib 1.2和以后版本的軟件能夠讓遠(yuǎn)程攻擊者引起拒絕服務(wù)攻擊。這個攻擊旨在使用一個不完整的代碼解釋一個長度大于1的代碼,從而引起緩存溢出漏洞。



  這個補(bǔ)丁包含zlib 1.2.3版升級軟件,地址是:www.zlib.net/zlib-1.2.3.tar.gz.

  事實是,這些安全漏洞的存在并不意味著任何人都應(yīng)該停止使用開源軟件代碼。IT專家網(wǎng)提醒用戶應(yīng)該使用安全漏洞補(bǔ)丁或者升級到這些軟件的穩(wěn)定版本。

相關(guān)文章

最新評論