Computable.nl
  • Thema’s
    • Carrière
    • Innovatie & Transformatie
    • Cloud & Infrastructuur
    • Data & AI
    • Governance & Privacy
    • Security & Awareness
    • Software & Development
    • Werkplek & Beheer
  • Sectoren
    • Channel
    • Financiële dienstverlening
    • Logistiek
    • Onderwijs
    • Overheid
    • Zorg
  • Computable Awards
    • Overzicht
    • Nieuws
    • Winnaars
    • Partner worden
  • Vacatures
    • Vacatures bekijken
    • Vacatures plaatsen
  • Bedrijven
    • Profielen
    • Producten & Diensten
  • Kennisbank
  • Nieuwsbrief

Vijf gemiste fouten in open source-software

23 januari 2008 - 10:183 minuten leestijdActueelSecurity & Awareness

Softwaremaker Palamida heeft een lijst gemaakt van vijf fouten in open source die door beheerders worden gemist. Dat wil niet zeggen dat open source-software meer kwetsbaarheden bevat.

Palamida, maker van risk management software voor open source-producten, heeft na het bekijken van 300 miljoen regels open source-code, vijf fouten in open source-software gepubliceerd die door beheerder het meest over het hoofd worden gezien.

De softwaremaker benadrukt in een blog dat het niet betekent dat open source-software kwetsbaarder is dan software met niet vrijbeschikbare broncode. "Sommigen zeggen zelfs bewijs te hebben dat het minder kwetsbaar is. Het merendeel van de open source-projecten komt binnen enkele uren na de ontdekking van een lek met een patch," schrijft Theresa Bui, vice president bij Palamida op de blog.

Zij schrijft dat het, net als bij ‘gesloten’ software, belangrijk is bij te blijven. Dit betekent dat beheerders patches moeten installeren en de nieuwste stabiele versie van de software gebruiken.

De vijf fouten in alfabetische volgorde: 

Apache Geronimo: CVE-2007-4548
Geronimo 2.0, de applicatieserver van de Apache Software Foundation, bevat een fout waardoor aanvallers de inlogprocedure kunnen omzeilen. In plaats van de reguliere inlogmodule kunnen ze via de opdrachtprompt (command line) een blanco gebruikersnaam en wachtwoord invoeren. Zo kunnen ze eigen malware in het systeem laden.
Een patch voor dit beveiligingsgat is verkrijgbaar.

JBoss Applications Server: CVE-2006-5750
De applicatieserver van JBoss, recent overgenomen door Red Hat, staat op de lijst. Versie 3.2.4 t/m 4.0.5 van die software heeft een gat waarmee gebruikers op afstand, mits ingelogd, willekeurige bestanden kunnen lezen en wijzigen. Het is ook mogelijk eigen code te laten uitvoeren. De impact van dit gat is minder zwaar dan in Geronimo, want gebruikers moeten ingelogd zijn.
Een patch voor dit gat is verkrijgbaar.

LibTiff: CVE-2006-3464
De open source-library LibTiff, voor het lezen en schrijven van grafische bestanden in het Tagged Image File Format (TIFF), is kwetsbaar voor een buffer overflow. Dit betreft alleen oudere versies van voor 3.8.2. Aanvallers kunnen met een speciaal geprepareerd tiff-plaatje misbruik maken van dit gat. Zij kunnen dan code uitvoeren in de directory waar dit plaatje staat.
Ook hiervoor is een patch verkrijgbaar.

Net-SNMP: CVE-2005-4837
De beheersoftware Net-SNMP (Simple Network Management Protocol) is gevoelig voor een denial-of-service aanval die tot een crash kan leiden. Het gaat om versie 1.0, 2c en 3.0 van deze software, die dan wel in de zogenaamde master agentx-modus moet draaien.
Een patch is verkrijgbaar.

Zlib: CVE-2005-2096
Zlib is een library voor datacompressie. In de versies 1.2. en hoger zijn kwetsbaar voor een denial-of-service aanval die mogelijk is door een buffer overflow. Aanvallers moeten een speciaal gemaakte ingepakte code aanbieden die tot de buffer overflow leidt. Dit is onder meer mogelijk met een png-bestand (open source-alternatief voor gif).
Ook hier is een patch voor verkrijgbaar.

Meer over

Opensource

Deel

    Inschrijven nieuwsbrief Computable

    Door te klikken op inschrijven geef je toestemming aan Jaarbeurs B.V. om je naam en e-mailadres te verwerken voor het verzenden van een of meer mailings namens Computable. Je kunt je toestemming te allen tijde intrekken via de af­meld­func­tie in de nieuwsbrief.
    Wil je weten hoe Jaarbeurs B.V. omgaat met jouw per­soons­ge­ge­vens? Klik dan hier voor ons privacy statement.

    Whitepapers

    Computable.nl

    Slimme connectiviteit: de toekomst van bouwen

    Hoe stoom jij jouw organisatie in de bouw en installatie sector klaar voor de digitale toekomst?

    Computable.nl

    De weg van dataverzameling naar impact

    Iedere organisatie heeft data, maar niet iedereen weet hoe je het goed gebruikt. Hoe zet je waardevolle informatie om in actie?

    Computable.nl

    Beveiliging en IT samen sterk tegen bedreigingen

    Deze paper geeft concrete strategieën en handvatten om IT en Security effectiever te integreren.

    Meer lezen

    Computable.nl
    ActueelInnovatie & Transformatie

    Sun pleit voor betaalde open source

    Computable.nl
    ActueelCarrière

    Vraag naar opensource-opleiding onvoldoende beantwoord

    Computable.nl
    ActueelData & AI

    Oracle lijft weer open-source databasebedrijf in

    Computable.nl
    ActueelSoftware & Development

    Linuxdistributie is tien miljard dollar waard

    Computable.nl
    ActueelSoftware & Development

    LaQuSo komt met kwaliteitskeurmerk voor software

    3 reacties op “Vijf gemiste fouten in open source-software”

    1. Erik schreef:
      23 september 2010 om 13:17

      Ok, 5 serieuze fouten op 300 miljoen regels code. Dat is toch heel erg goed? Of wil een willekeurige leverancier van closed source software gaan beweren dat hij minder dan 1 fout per 60 miljoen regels code maakt? Zo ja, laat maar zien! 😉

      Login om te reageren
    2. Jan van Leeuwen schreef:
      23 september 2010 om 13:28

      Ja ja, wij van WC eend . . . .
      Op geen enkel forum komen deze “problemen” ter sprake, is dit reklame of . . . .

      Login om te reageren
    3. Technicus schreef:
      23 september 2010 om 14:26

      Kijk naar de cve-nummers en dan naar de datum van het artikel. Het is een storm in een glas water.

      Daarnaast is het pas problematisch als je het specifieke stuk software ook daadwerkelijk gebruikt en dan op een plek waar er misbruik van gemaakt kan worden.

      Login om te reageren

    Geef een reactie Reactie annuleren

    Je moet ingelogd zijn op om een reactie te plaatsen.

    Populaire berichten

    Meer artikelen

    Footer

    Direct naar

    • Carrièretests
    • Kennisbank
    • Planning
    • Computable Awards
    • Magazine
    • Abonneren Magazine
    • Cybersec e-Magazine

    Producten

    • Adverteren en meer…
    • Jouw Producten en Bedrijfsprofiel
    • Whitepapers & Leads
    • Vacatures & Employer Branding
    • Persberichten

    Contact

    • Colofon
    • Computable en de AVG
    • Service & contact
    • Inschrijven nieuwsbrief
    • Inlog

    Social

    • Facebook
    • X
    • LinkedIn
    • YouTube
    • Instagram
    © 2025 Jaarbeurs
    • Disclaimer
    • Gebruikersvoorwaarden
    • Privacy statement
    Computable.nl is een product van Jaarbeurs