向日葵漏洞防护谈谈 开源软件代码中容易忽略的五个安全漏
2023-05-16 13:51:24爱云资讯
计算机漏洞是关系到大家上网安全的大事。向日葵漏洞防护专栏最近注意到,安全漏洞审计和软件风险管理公司Palamida对3亿行代码进行审查之后发现了用户在其开源软件代码中最容易忽略的五个安全漏洞。日葵漏洞防护认为,如今在某些情况下,开源软件的安全性无法保证,因此不能再将其与商业软件相比较。开源软件项目应该正视其安全漏洞,并尽快采取措施加以修复。
下面是容易忽略的五个安全漏洞:
1.Geronimo 2.0
这个Apache的应用服务器软件在其登录模块中存在一个安全漏洞,让远程攻击者能够绕过身份识别要求,部署一个替代的恶意软件代码模块,并且获得访问这个服务器应用程序的管理员权限。
日葵漏洞防护表示,这个访问权限是通过使用Geronimo部署模块中的命令行发送一个空白的用户名和口令获得的。一个空白的用户名和口令应该引起Geronimo 2.0中的“FailedLoginException”访问控制模块做出反应,但是,它却没有反应。
2.JBoss应用服务器
JBoss应用服务器3.2.4至4.0.5版的“DeploymentFileRepository”类中有一个目录遍历安全漏洞”。日葵漏洞防护提醒,这个安全漏洞允许远程身份识别的用户读取或者修改任意文件并且可能执行任意代码。
3.LibTiff开源软件库:
这个库是用于读写TIFF(标签图像文件格式)格式文件的。3.8.2版本以前的LibTiff 库包含一个命令行工具,可在Linux和Unix系统中操作TIFF图像文件,许多Linux发布版软件中都有这个工具。
使用3.8.2版本以前的LibTiff 库能够让依赖上下文的攻击者通过数字范围的检查并且通过一个TIFF目录中的大型补偿值执行代码。这个大型补偿值可能导致一个整数溢出安全漏洞或者其它意想不到的结果,构成没有检查的算术操作。
4.Net-SNMP
这个安全漏洞存在于Net-SNMP或者应用SNMP(简单网络管理协议)协议的程序中。1.0、2c和3.0版本的Net-SNMP协议都存在安全漏洞。
日葵漏洞防护提醒,当以“master agentx”模式运行Net-SNMP的时候,这个软件能够让远程攻击者通过引起一个特定的TCP连接中断实施拒绝服务攻击,造成系统崩溃。中断TCP连接可产生一个不正确的变量。
5.Zlib:
Zlib是一个用于数据压缩的软件库。Zlib 1.2和以后版本的软件能够让远程攻击者引起拒绝服务攻击。这个攻击旨在使用一个不完整的代码解释一个长度大于1的代码,从而引起缓存溢出漏洞。
尽管存在安全漏洞,但向日葵漏洞防护认为并不意味着人们应该停止使用开源软件代码。相反,他们建议用户应该及时应用安全补丁或者升级到软件的稳定版本,以确保系统的安全性。
- 恭喜!达内教育&达内李欣老师荣获2023年度LF开源软件学园优秀合作伙伴&优秀讲师称号
- 2024年,你还在开源自建监控系统?
- IBM 宣布在 watsonx 上提供开源的 Mistral AI 模型----扩大模型选择范围,帮助企业以可信和灵活的方式扩展 AI
- 加码AI、开源鸿蒙研发,拓维信息将启动2024全国研发人才千人招聘计划
- 迈向端到端自动驾驶,地平线正式开源Sparse4D算法
- 深耕文档型数据库12载,SequoiaDB再开源
- 中国电信星辰语义大模型正式开源,携手昇腾共建开源大模型生态
- 中国电信星辰AI大模型开源自研AI创新成果助推数字中国建设“正当时”
- 推动国产开源事业,青云QingCloud获“OpenCloudOS 社区优秀贡献企业”
- openGauss summit 2023 | 共建开源生态,软通动力天鹤数据库正式发布
- 全开源斯坦福Mobile ALOHA机器人,家务样样精通
- 快手Kwai Agents系统、模型、数据全部开源
- 聚合OpenHarmony技术势能,OpenHarmony创新赛优秀作品以开源技术把脉产业需求
- 云起无垠:SecGPT-全球首个网络安全开源大模型
- 软通动力子公司鸿湖万联亮相2023年开源产业生态大会
- openEuler汇聚开源力量,共建全球开源生态