Vijf gemiste fouten in open source-software

Softwaremaker Palamida heeft een lijst gemaakt van vijf fouten in open source die door beheerders worden gemist. Dat wil niet zeggen dat open source-software meer kwetsbaarheden bevat.

Palamida, maker van risk management software voor open source-producten, heeft na het bekijken van 300 miljoen regels open source-code, vijf fouten in open source-software gepubliceerd die door beheerder het meest over het hoofd worden gezien.

De softwaremaker benadrukt in een blog dat het niet betekent dat open source-software kwetsbaarder is dan software met niet vrijbeschikbare broncode. "Sommigen zeggen zelfs bewijs te hebben dat het minder kwetsbaar is. Het merendeel van de open source-projecten komt binnen enkele uren na de ontdekking van een lek met een patch," schrijft Theresa Bui, vice president bij Palamida op de blog.

Zij schrijft dat het, net als bij 'gesloten' software, belangrijk is bij te blijven. Dit betekent dat beheerders patches moeten installeren en de nieuwste stabiele versie van de software gebruiken.

De vijf fouten in alfabetische volgorde: 

Apache Geronimo: CVE-2007-4548
Geronimo 2.0, de applicatieserver van de Apache Software Foundation, bevat een fout waardoor aanvallers de inlogprocedure kunnen omzeilen. In plaats van de reguliere inlogmodule kunnen ze via de opdrachtprompt (command line) een blanco gebruikersnaam en wachtwoord invoeren. Zo kunnen ze eigen malware in het systeem laden.
Een patch voor dit beveiligingsgat is verkrijgbaar.

JBoss Applications Server: CVE-2006-5750
De applicatieserver van JBoss, recent overgenomen door Red Hat, staat op de lijst. Versie 3.2.4 t/m 4.0.5 van die software heeft een gat waarmee gebruikers op afstand, mits ingelogd, willekeurige bestanden kunnen lezen en wijzigen. Het is ook mogelijk eigen code te laten uitvoeren. De impact van dit gat is minder zwaar dan in Geronimo, want gebruikers moeten ingelogd zijn.
Een patch voor dit gat is verkrijgbaar.

LibTiff: CVE-2006-3464
De open source-library LibTiff, voor het lezen en schrijven van grafische bestanden in het Tagged Image File Format (TIFF), is kwetsbaar voor een buffer overflow. Dit betreft alleen oudere versies van voor 3.8.2. Aanvallers kunnen met een speciaal geprepareerd tiff-plaatje misbruik maken van dit gat. Zij kunnen dan code uitvoeren in de directory waar dit plaatje staat.
Ook hiervoor is een patch verkrijgbaar.

Net-SNMP: CVE-2005-4837
De beheersoftware Net-SNMP (Simple Network Management Protocol) is gevoelig voor een denial-of-service aanval die tot een crash kan leiden. Het gaat om versie 1.0, 2c en 3.0 van deze software, die dan wel in de zogenaamde master agentx-modus moet draaien.
Een patch is verkrijgbaar.

Zlib: CVE-2005-2096
Zlib is een library voor datacompressie. In de versies 1.2. en hoger zijn kwetsbaar voor een denial-of-service aanval die mogelijk is door een buffer overflow. Aanvallers moeten een speciaal gemaakte ingepakte code aanbieden die tot de buffer overflow leidt. Dit is onder meer mogelijk met een png-bestand (open source-alternatief voor gif).
Ook hier is een patch voor verkrijgbaar.