【IT专家网独家】对于Windows平台的漏洞人们关注得可能更多一些。但为什么我们要谈最容易被忽视的三大开源漏洞呢?首先,我们指的是这些已知的漏洞都是高严重性、又是较常见的,在我们审核的开源项目的代码中位列前茅。其次,也有可能是最重要的一点:即这些漏洞在整个的2007年中出现在一些最频繁使用的开源项目中,而客户们并没有认识到。
有时,发布这样一个列表是很危险的,因为它有可能被用作其它方面。首先,让笔者强调,与商业软件相比,开源软件并不再更容易受到攻击。一些人甚至可以指出证据,证明这一点。大多数的开源项目都能在发现漏洞后的几个小时内提供针对问题的补丁版本。
然而,如果你并不知道自己正使用着开源的组件,这才是使你处于风险中重要因素。在这种情况下,你如何检索最新的版本?如果你并没有一个合适的系统警告你可用的补丁或安全问题,就会将安全漏洞引入到你所属组织的代码库中,从而造成风险。
在这里我们按照字母顺序列出2007年被忽视的三大开源漏洞:
1. APACHE GERONIMO : CVE-2007-4548
项目描述:一个由Apache Software Foundation开发的免费的软件应用服务器。
漏洞描述:Apache Geronimo 2.0中LoginModule登录方法并没有对无效的登录启动FailedLoginException,这就允许攻击者能够绕过身份验证要求,部署任意的模块,并通过在部署模块中借助于命令行程序发送一个空用户名和口令,获取管理权限的访问。
补丁信息:
https://issues.apache.org/jira/secure/attachment/12363723/GERONIMO-3404.patch
2. JBOSS APPLICATION SERVER : CVE-2006-5750
项目描述:Jboss应用服务器(JBoss Application Server)是一个免费的软件/开源的基于Java EE 应用服务器。
漏洞描述:这是Jboss应用服务器3.2.4 到 4.0.5上DeploymentFileRepository内的目录遍历(directory traversal)漏洞,它允许远程的授权用户通过与控制台管理器有关的未指明的手段,阅读或修改任意的文件,并可能执行任意的代码。
补丁信息:http://jira.jboss.com/jira/browse/ASPATCH-126
3. LIBTIFF : CVE-2006-3464
项目描述:用于读写标签图像文件格式(Tagged Image File Format,简写为TIFF)库文件。其套件还包含着处理TIFF文件的命令行工具。其源代码是分布式的,并能够在互联网上找到所有平台的二进制代码。LibTiff嵌入到了多种Linux发行版本中。
漏洞信息:通过可导致一个整数溢出和其它未指定向量(包括未检查的算术运算符)值的极大偏移,3.8.2之前的TIFF库允许特定环境的攻击者通过数字范围的检查,可能会执行代码,并会激发assert错误。
补丁信息:http://security.debian.org/pool/updates/main/t/tiff/tiff_3.7.2.orig.tar.gz
IT专家网原创文章,未经许可,严禁转载!
