五个最易忽视的开源软件安全漏洞

日期: 2008-01-24 作者:Charles Babcock 来源:TechTarget中国

  安全漏洞审计和软件风险管理公司Palamida称,该公司在2007年对3亿行代码进行复查之后发现了用户在其开源软件代码中最容易忽视的五个安全漏洞。

  这五个最容易忽视的安全漏洞仅按照字母排列,Palamida公司CEO Mark Tolliver说,不想按照使用的频率排名。Palamida的列表反映了已知的安全漏洞的出现和被修复的情况。但是,商业和政府机构等用户仍会遭遇到这些安全漏洞。

  Tolliver表示,开源软件代码“并不比商业软件具有更多的安全漏洞”,在某些情况下,甚至更少。Tolliver还补充,开源软件项目易于承认自己的安全漏洞并且能够快速反应,尽快修复这些安全漏洞。

  Palamida公司列出的最易忽视的五个安全漏洞如下:

  1.Geronimo 2.0:这个Apache的应用服务器软件在其登录模块中存在一个安全漏洞,让远程攻击者能够绕过身份识别要求,部署一个替代的恶意软件代码模块,并且获得访问这个服务器应用程序的管理员权限。Palamida报告称,这个访问权限是通过使用Geronimo部署模块中的命令行发送一个空白的用户名和口令获得的。一个空白的用户名和口令应该引起Geronimo 2.0中的“FailedLoginException”访问控制模块做出反应,但是,它却没有反应。

  修复这个安全漏洞的补丁网址是:https://issues.apache.org/jira/secure/attachment/12363723/GERONIMO-3404.patch.

  Geronimo与Red Hat的JBoss以及其它开源软件应用服务器展开竞争。

  2.JBoss应用服务器:JBoss应用服务器3.2.4至4.0.5版的“DeploymentFileRepository”类中有一个目录遍历安全漏洞”。这家公司12月7日的报告做出的结论称,这个安全漏洞允许远程身份识别的用户读取或者修改任意文件并且可能执行任意代码。

   修复这个安全漏洞的补丁的地址是:http://jira.jboss.com/jira/browse/ASPATCH-126.

  3.LibTiff开源软件库:这个库是用于读写TIFF(标签图像文件格式)格式文件的。3.8.2版本以前的LibTiff 库包含一个命令行工具,可在Linux和Unix系统中操作TIFF图像文件,许多Linux发布版软件中都有这个工具。

  使用3.8.2版本以前的LibTiff 库能够让依赖上下文的攻击者通过数字范围的检查并且通过一个TIFF目录中的大型补偿值执行代码。这个大型补偿值可能导致一个整数溢出安全漏洞或者其它意想不到的结果,构成没有检查的算术操作。

  这个补丁的地址是:http://security.debian.org/pool/updates/main/t/tiff/tiff_3.7.2.orig.tar.gz.

  4.Net-SNMP:这个安全漏洞存在于Net-SNMP或者应用SNMP(简单网络管理协议)协议的程序中。1.0、2c和3.0版本的Net-SNMP协议都存在安全漏洞。当以“master agentx”模式运行Net-SNMP的时候,这个软件能够让远程攻击者通过引起一个特定的TCP连接中断实施拒绝服务攻击,造成系统崩溃。中断TCP连接可产生一个不正确的变量。

  这个补丁的网址是:http://downloads.sourceforge.net/net-snmp/net-snmp-5.4.1.zip?modtime=1185535864&big_mirror=1.

  5.Zlib:Zlib是一个用于数据压缩的软件库。Zlib 1.2和以后版本的软件能够让远程攻击者引起拒绝服务攻击。这个攻击旨在使用一个不完整的代码解释一个长度大于1的代码,从而引起缓存溢出漏洞。

  这个补丁包含zlib 1.2.3版升级软件,地址是:www.zlib.net/zlib-1.2.3.tar.gz.

  事实是,这些安全漏洞的存在并不意味着任何人都应该停止使用开源软件代码。IT专家网提醒用户应该使用安全漏洞补丁或者升级到这些软件的稳定版本。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

相关推荐