Vijf gemiste fouten in open source-software
Softwaremaker Palamida heeft een lijst gemaakt van vijf fouten in open source die door beheerders worden gemist. Dat wil niet zeggen dat open source-software meer kwetsbaarheden bevat.
Palamida, maker van risk management software voor open source-producten, heeft na het bekijken van 300 miljoen regels open source-code, vijf fouten in open source-software gepubliceerd die door beheerder het meest over het hoofd worden gezien.
De softwaremaker benadrukt in een blog dat het niet betekent dat open source-software kwetsbaarder is dan software met niet vrijbeschikbare broncode. "Sommigen zeggen zelfs bewijs te hebben dat het minder kwetsbaar is. Het merendeel van de open source-projecten komt binnen enkele uren na de ontdekking van een lek met een patch," schrijft Theresa Bui, vice president bij Palamida op de blog.
Zij schrijft dat het, net als bij 'gesloten' software, belangrijk is bij te blijven. Dit betekent dat beheerders patches moeten installeren en de nieuwste stabiele versie van de software gebruiken.
De vijf fouten in alfabetische volgorde:
Apache Geronimo: CVE-2007-4548
Geronimo 2.0, de applicatieserver van de Apache Software Foundation, bevat een fout waardoor aanvallers de inlogprocedure kunnen omzeilen. In plaats van de reguliere inlogmodule kunnen ze via de opdrachtprompt (command line) een blanco gebruikersnaam en wachtwoord invoeren. Zo kunnen ze eigen malware in het systeem laden.
Een patch voor dit beveiligingsgat is verkrijgbaar.
JBoss Applications Server: CVE-2006-5750
De applicatieserver van JBoss, recent overgenomen door Red Hat, staat op de lijst. Versie 3.2.4 t/m 4.0.5 van die software heeft een gat waarmee gebruikers op afstand, mits ingelogd, willekeurige bestanden kunnen lezen en wijzigen. Het is ook mogelijk eigen code te laten uitvoeren. De impact van dit gat is minder zwaar dan in Geronimo, want gebruikers moeten ingelogd zijn.
Een patch voor dit gat is verkrijgbaar.
LibTiff: CVE-2006-3464
De open source-library LibTiff, voor het lezen en schrijven van grafische bestanden in het Tagged Image File Format (TIFF), is kwetsbaar voor een buffer overflow. Dit betreft alleen oudere versies van voor 3.8.2. Aanvallers kunnen met een speciaal geprepareerd tiff-plaatje misbruik maken van dit gat. Zij kunnen dan code uitvoeren in de directory waar dit plaatje staat.
Ook hiervoor is een patch verkrijgbaar.
Net-SNMP: CVE-2005-4837
De beheersoftware Net-SNMP (Simple Network Management Protocol) is gevoelig voor een denial-of-service aanval die tot een crash kan leiden. Het gaat om versie 1.0, 2c en 3.0 van deze software, die dan wel in de zogenaamde master agentx-modus moet draaien.
Een patch is verkrijgbaar.
Zlib: CVE-2005-2096
Zlib is een library voor datacompressie. In de versies 1.2. en hoger zijn kwetsbaar voor een denial-of-service aanval die mogelijk is door een buffer overflow. Aanvallers moeten een speciaal gemaakte ingepakte code aanbieden die tot de buffer overflow leidt. Dit is onder meer mogelijk met een png-bestand (open source-alternatief voor gif).
Ook hier is een patch voor verkrijgbaar.
Erik, 23-09-2010 15:17
Jan van Leeuwen, 23-09-2010 15:28
Op geen enkel forum komen deze "problemen" ter sprake, is dit reklame of . . . .
Technicus, 23-09-2010 16:26
Daarnaast is het pas problematisch als je het specifieke stuk software ook daadwerkelijk gebruikt en dan op een plek waar er misbruik van gemaakt kan worden.
10-02 Infor helpt Ferrari met bouwen F1-auto's
10-02 Tester Four Oaks in Israëlische handen
10-02 IS Online en Tres zijn klaar voor Elfstedentocht
10-02 SecureLink migreert Microsoft-diensten Atradius
10-02 Nieuwe software brengt Vitens in problemen
10-02 Ex-Misys-topman moet CSC uit penarie helpen
10-02 Veenman en 20/20 vision adviseren samen klant
10-02 Cisco maakt 2,2 miljard dollar kwartaalwinst
10-02 Misys en Temenos willen fuseren
10-02 Raet stelt Schrijnemaekers als nieuwe CFO aan
10-02 SecureLink migreert Microsoft-diensten Atradius
09-02 Vodafone: Wij spelen klantinformatie niet door
09-02 Lang leve de hackers!
09-02 'KPN koppelt ID aan internetverkeer'
09-02 'Ook met cookiewet is gebruiker niet anoniem'
08-02 'Nieuwe cookiewet is eenvoudig te omzeilen'
07-02 Eigen werknemer kan ook een vijand zijn
03-02 'Overheid vreest voor veiligheid in de cloud'
01-02 F5 beschermt openbare websites
31-01 Publieksvoorlichting is belangrijke taak voor NCSC
|
|
23-10-08 Linuxdistributie is tien miljard dollar waard
17-04-08 LaQuSo komt met kwaliteitskeurmerk voor software
08-05-07 Sun pleit voor betaalde open source
07-07-06 Vraag naar opensource-opleiding onvoldoende beantwoord
14-02-06 Oracle lijft weer open-source databasebedrijf in
Best Practices om laptop-data te beschermen
In een tijd waarin steeds meer werknemers mobiel hun werk doen en de hoeveelheid data exponentieel toeneemt, is......
| Aantal reacties met 3+ sterren | Gemiddelde waardering | |||
 | 1 | 154 | 6.4 | |
 | 2 | 120 | 6.7 | |
 | 3 | 109 | 6.4 | |
 | 4 | 79 | 6.6 | |
| 5 | 53 | 6.1 | |
| 6 | 49 | 6.3 | |
 | 7 | 47 | 6.5 | |
| 8 | 43 | 6.1 | |
| 9 | 43 | 6.0 | |
| 10 | 40 | 6.3 | |
Computable.nl is onderdeel van VNU Media, uitgever van o.a.: NationaleVacaturebank.nl | Intermediair | IntermediairPW | Carrièregids.nl | CompanyRating | NationaleStagebank.nl | Banen.nl | HRbase.nl | HRdirectory.nl | Financebase.nl | InIct.nl | InInterim.nl | InOverheid.nl | Overheidscircuit.nl | Computable | CRN | IT Knowledge Base | Tweakers.net | Recruitmentbloggers
Sitemap | Abonneren | Adverteren | Algemene voorwaarden | Disclaimer | Privacy | Alle rechten voorbehouden © 1995-2012 VNU Media