安全漏洞审计和软件风险管理公司Palamida称,该公司在2007年对3亿行代码进行审查之后发现了用户在其开源软件代码中最容易忽略的五个安全漏洞。
这五个最容易忽略的安全漏洞仅按照字母排列,安全公司并不打算按照使用的频率排名。Palamida的列表反映了已知的安全漏洞的出现和被修复的情况。但是,商业和政府机构等用户仍会遭遇到这些安全漏洞。
笔者以为,开源软件代码不再比商业软件更安全,在某些情况下,开源软件的安全性无法保证。专家表示,开源软件项目应该承认自己的安全漏洞并且尽快修复这些安全漏洞。下面是容易忽略的五个安全漏洞:
1.Geronimo 2.0:这个Apache的应用服务器软件在其登录模块中存在一个安全漏洞,让远程攻击者能够绕过身份识别要求,部署一个替代的恶意软件代码模块,并且获得访问这个服务器应用程序的管理员权限。Palamida报告称,这个访问权限是通过使用Geronimo部署模块中的命令行发送一个空白的用户名和口令获得的。一个空白的用户名和口令应该引起Geronimo 2.0中的“FailedLoginException”访问控制模块做出反应,但是,它却没有反应。
修复这个安全漏洞的补丁网址是:https://issues.apache.org/jira/secure/attachment/12363723/GERONIMO-3404.patch.
Geronimo与Red Hat的JBoss以及其它开源软件应用服务器展开竞争。
