向日葵漏洞防护谈谈 开源软件代码中容易忽略的五个安全漏

计算机漏洞是关系到大家上网安全的大事。向日葵漏洞防护专栏最近注意到，安全漏洞审计和软件风险管理公司Palamida对3亿行代码进行审查之后发现了用户在其开源软件代码中最容易忽略的五个安全漏洞。日葵漏洞防护认为，如今在某些情况下，开源软件的安全性无法保证，因此不能再将其与商业软件相比较。开源软件项目应该正视其安全漏洞，并尽快采取措施加以修复。

下面是容易忽略的五个安全漏洞：

1.Geronimo 2.0

这个Apache的应用服务器软件在其登录模块中存在一个安全漏洞，让远程攻击者能够绕过身份识别要求，部署一个替代的恶意软件代码模块，并且获得访问这个服务器应用程序的管理员权限。

日葵漏洞防护表示，这个访问权限是通过使用Geronimo部署模块中的命令行发送一个空白的用户名和口令获得的。一个空白的用户名和口令应该引起Geronimo 2.0中的“FailedLoginException”访问控制模块做出反应，但是，它却没有反应。

2.JBoss应用服务器

JBoss应用服务器3.2.4至4.0.5版的“DeploymentFileRepository”类中有一个目录遍历安全漏洞”。日葵漏洞防护提醒，这个安全漏洞允许远程身份识别的用户读取或者修改任意文件并且可能执行任意代码。

3.LibTiff开源软件库：

这个库是用于读写TIFF(标签图像文件格式)格式文件的。3.8.2版本以前的LibTiff 库包含一个命令行工具，可在Linux和Unix系统中操作TIFF图像文件，许多Linux发布版软件中都有这个工具。

使用3.8.2版本以前的LibTiff 库能够让依赖上下文的攻击者通过数字范围的检查并且通过一个TIFF目录中的大型补偿值执行代码。这个大型补偿值可能导致一个整数溢出安全漏洞或者其它意想不到的结果，构成没有检查的算术操作。

4.Net-SNMP

这个安全漏洞存在于Net-SNMP或者应用SNMP(简单网络管理协议)协议的程序中。1.0、2c和3.0版本的Net-SNMP协议都存在安全漏洞。

日葵漏洞防护提醒，当以“master agentx”模式运行Net-SNMP的时候，这个软件能够让远程攻击者通过引起一个特定的TCP连接中断实施拒绝服务攻击，造成系统崩溃。中断TCP连接可产生一个不正确的变量。

5.Zlib：

Zlib是一个用于数据压缩的软件库。Zlib 1.2和以后版本的软件能够让远程攻击者引起拒绝服务攻击。这个攻击旨在使用一个不完整的代码解释一个长度大于1的代码，从而引起缓存溢出漏洞。

尽管存在安全漏洞，但向日葵漏洞防护认为并不意味着人们应该停止使用开源软件代码。相反，他们建议用户应该及时应用安全补丁或者升级到软件的稳定版本，以确保系统的安全性。