[首页]
[文章]
[教程]
首页
Web开发
Windows开发
编程语言
数据库技术
移动平台
系统服务
微信
设计
布布扣
其他
数据分析
首页
>
系统服务
> 详细
最容易被忽略的五个开源软件安全漏洞
时间:
2016-01-30 21:10:42
阅读:
128
评论:
0
收藏:
0
[点我收藏+]
安全漏洞审计和软件风险管理公司Palamida称,该公司在2007年对3亿行代码进行审查之后发现了用户在其开源软件代码中最容易忽略的五个安全漏洞。
这五个最容易忽略的安全漏洞仅按照字母排列,安全公司并不打算按照使用的频率排名。Palamida的列表反映了已知的安全漏洞的出现和被修复的情况。但是,商业和政府机构等用户仍会遭遇到这些安全漏洞。
笔者以为,开源软件代码不再比商业软件更安全,在某些情况下,开源软件的安全性无法保证。专家表示,开源软件项目应该承认自己的安全漏洞并且尽快修复这些安全漏洞。下面是容易忽略的五个安全漏洞:
1.Geronimo 2.0
这个Apache的应用服务器软件在其登录模块中存在一个安全漏洞,让远程攻击者能够绕过身份识别要求,部署一个替代的恶意软件代码模块,并且获得访问这个服务器应用程序的管理员权限。Palamida报告称,这个访问权限是通过使用Geronimo部署模块中的命令行发送一个空白的用户名和口令获得的。一个空白的用户名和口令应该引起Geronimo 2.0中的“FailedLoginException”访问控制模块做出反应,但是,它却没有反应。
修复这个安全漏洞的补丁网址是:https://issues.apache.org/jira/secure/attachment/12363723/GERONIMO-3404.patch.
Geronimo与Red Hat的JBoss以及其它开源软件应用服务器展开竞争。
2.JBoss应用服务器
JBoss应用服务器3.2.4至4.0.5版的“DeploymentFileRepository”类中有一个目录遍历安全漏洞”。这家公司12月7日的报告做出的结论称,这个安全漏洞允许远程身份识别的用户读取或者修改任意文件并且可能执行任意代码。
修复这个安全漏洞的补丁的地址是:http://jira.jboss.com/jira/browse/ASPATCH-126.
3.LibTiff开源软件库:
这个库是用于读写TIFF(标签图像文件格式)格式文件的。3.8.2版本以前的LibTiff 库包含一个命令行工具,可在Linux和Unix系统中操作TIFF图像文件,许多Linux发布版软件中都有这个工具。
使用3.8.2版本以前的LibTiff 库能够让依赖上下文的攻击者通过数字范围的检查并且通过一个TIFF目录中的大型补偿值执行代码。这个大型补偿值可能导致一个整数溢出安全漏洞或者其它意想不到的结果,构成没有检查的算术操作。
这个补丁的地址是:http://security.debian.org/pool/updates/main/t/tiff/tiff_3.7.2.orig.tar.gz.
4.Net-SNMP:
这个安全漏洞存在于Net-SNMP或者应用SNMP(简单网络管理协议)协议的程序中。1.0、2c和3.0版本的Net-SNMP协议都存在安全漏洞。当以“master agentx”模式运行Net-SNMP的时候,这个软件能够让远程攻击者通过引起一个特定的TCP连接中断实施拒绝服务攻击,造成系统崩溃。中断TCP连接可产生一个不正确的变量。
这个补丁的网址是:http://downloads.sourceforge.net/net-snmp/net-snmp-5.4.1.zip?modtime=1185535864&big_mirror=1.
5.Zlib:
Zlib是一个用于数据压缩的软件库。Zlib 1.2和以后版本的软件能够让远程攻击者引起拒绝服务攻击。这个攻击旨在使用一个不完整的代码解释一个长度大于1的代码,从而引起缓存溢出漏洞。
这个补丁包含zlib 1.2.3版升级软件,地址是:www.zlib.net/zlib-1.2.3.tar.gz.
事实是,这些安全漏洞的存在并不意味着任何人都应该停止使用开源软件代码。IT专家网提醒用户应该使用安全漏洞补丁或者升级到这些软件的稳定版本。
最容易被忽略的五个开源软件安全漏洞
原文:http://www.jb51.net/hack/5517.html
踩
(
0
)
赞
(
0
)
举报
评论
一句话评论(
0
)
登录后才能评论!
分享档案
更多>
2021年09月23日 (328)
2021年09月24日 (313)
2021年09月17日 (191)
2021年09月15日 (369)
2021年09月16日 (411)
2021年09月13日 (439)
2021年09月11日 (398)
2021年09月12日 (393)
2021年09月10日 (160)
2021年09月08日 (222)
最新文章
更多>
2021/09/28 scripts
2022-05-27
vue自定义全局指令v-emoji限制input输入表情和特殊字符
2022-05-27
9.26学习总结
2022-05-27
vim操作
2022-05-27
深入理解计算机基础 第三章
2022-05-27
C++ string 作为形参与引用传递(转)
2022-05-27
python 加解密
2022-05-27
JavaScript-对象数组里根据id获取name,对象可能有children属性
2022-05-27
SQL语句——保持现有内容在后面增加内容
2022-05-27
virsh命令文档
2022-05-27
教程昨日排行
更多>
1.
list.reverse()
2.
Django Admin 管理工具
3.
AppML 案例模型
4.
HTML 标签列表(功能排序)
5.
HTML 颜色名
6.
HTML 语言代码
7.
jQuery 事件
8.
jEasyUI 创建分割按钮
9.
jEasyUI 创建复杂布局
10.
jEasyUI 创建简单窗口
友情链接
汇智网
PHP教程
插件网
关于我们
-
联系我们
-
留言反馈
- 联系我们:wmxa8@hotmail.com
© 2014
bubuko.com
版权所有
打开技术之扣,分享程序人生!
