Palamida: Пять наиболее часто встречающихся уязвимостей в открытом ПО

image

Теги: открытое ПО, уязвимости

Представленные специалистами Palamida результаты получены путем анализа 300 миллионов строк программного кода.

Компания Palamida составила список из пяти уязвимостей, которые наиболее часто остаются незамеченными в программных продуктах с открытым исходным кодом.

Представленные специалистами Palamida результаты получены путем анализа 300 миллионов строк программного кода. Компания не приводит данные о том, насколько часто встречается та или иная дыра, попавшая в перечень, указывая лишь общую информацию об уязвимостях.

По данным Palamida, зачастую незамеченной остается брешь в сервере приложений Geronimo 2.0 от Apache Software Foundation. Уязвимость, о которой идет речь, присутствует в модуле входа в систему и может использоваться злоумышленниками с целью несанкционированного подключения к серверу приложений. Патч для дыры уже выпущен и может быть загружен с этой страницы.

Далее эксперты Palamida называют уязвимость в сервере приложений JBoss Application Server. Из-за ошибки, возникающей при работе с каталогами класса DeploymentFileRepository, удаленный пользователь может открывать и модифицировать произвольные файлы на атакуемом компьютере. Заплатка для дыры доступна  здесь .

Еще одна дыра, часто остающаяся непропатченной, присутствует в библиотеке LibTiff, применяющейся при обработке графических файлов формата Tagged Image File Format (TIFF). Брешь в определенных ситуациях может использоваться с целью выполнения произвольного кода на атакуемой машине. Патч можно загрузить отсюда .

Брешь в пакете Net-SNMP, позволяющая осуществлять DoS-атаки, также зачастую остается открытой. Дыра присутствует в Net-SNMP версий 1.0, 2с и 3.0, а заплатку для нее можно загрузить с этой страницы.

Наконец, еще одна дыра, попавшая в список Palamida, присутствует в широко распространенной библиотеке сжатия zlib. Эксплуатируя уязвимость, присутствующую в zlib версии 1.2, злоумышленники теоретически могут организовывать DoS-атаки. Заплатка для дыры также уже выпущена и доступна по этому адресу.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

comments powered by Disqus