Palamida: Пять наиболее часто встречающихся уязвимостей в открытом ПО

image

Теги: открытое ПО, уязвимости

Представленные специалистами Palamida результаты получены путем анализа 300 миллионов строк программного кода.

Компания Palamida составила список из пяти уязвимостей, которые наиболее часто остаются незамеченными в программных продуктах с открытым исходным кодом.

Представленные специалистами Palamida результаты получены путем анализа 300 миллионов строк программного кода. Компания не приводит данные о том, насколько часто встречается та или иная дыра, попавшая в перечень, указывая лишь общую информацию об уязвимостях.

По данным Palamida, зачастую незамеченной остается брешь в сервере приложений Geronimo 2.0 от Apache Software Foundation. Уязвимость, о которой идет речь, присутствует в модуле входа в систему и может использоваться злоумышленниками с целью несанкционированного подключения к серверу приложений. Патч для дыры уже выпущен и может быть загружен с этой страницы.

Далее эксперты Palamida называют уязвимость в сервере приложений JBoss Application Server. Из-за ошибки, возникающей при работе с каталогами класса DeploymentFileRepository, удаленный пользователь может открывать и модифицировать произвольные файлы на атакуемом компьютере. Заплатка для дыры доступна  здесь.

Еще одна дыра, часто остающаяся непропатченной, присутствует в библиотеке LibTiff, применяющейся при обработке графических файлов формата Tagged Image File Format (TIFF). Брешь в определенных ситуациях может использоваться с целью выполнения произвольного кода на атакуемой машине. Патч можно загрузить отсюда.

Брешь в пакете Net-SNMP, позволяющая осуществлять DoS-атаки, также зачастую остается открытой. Дыра присутствует в Net-SNMP версий 1.0, 2с и 3.0, а заплатку для нее можно загрузить с этой страницы.

Наконец, еще одна дыра, попавшая в список Palamida, присутствует в широко распространенной библиотеке сжатия zlib. Эксплуатируя уязвимость, присутствующую в zlib версии 1.2, злоумышленники теоретически могут организовывать DoS-атаки. Заплатка для дыры также уже выпущена и доступна по этому адресу.


или введите имя

CAPTCHA
Страницы: 1  2  
24-01-2008 11:19:21
А при чём тут венда? в винде бы пол года ждали фикса, а потом фикс дл фикса ))
0 |
1
24-01-2008 11:32:38
Панде +1
0 |
1
24-01-2008 11:40:33
Еще одна дыра, часто остающаяся непропатченной, присутствует в библиотеке LibTiff, применяющейся при обработке графических файлов формата Tagged Image File Format (TIFF). Брешь в определенных ситуациях может использоваться с целью выполнения произвольного кода на атакуемой машине. Патч можно загрузить отсюда. этот баг как пол года уже полечили. паламида открыла омерику, блин.
0 |
1
24-01-2008 11:46:44
этот баг как пол года уже полечили. паламида открыла омерику, блин.Сказали же - дыры которые одмыны с руками растущими оттуда же откуда и ноги не затыкают.
0 |
1
24-01-2008 13:15:08
какие в жопу админы, они код программный анализировали, только этот анализ похоже растянулся у них на 10 лет- 300млн это не хрен собачий, даже при осиливании 1000строчек человеком за день, на это бы ушло 1000 человеколет- но чую я, что тут неверная информация.
0 |
1
24-01-2008 17:43:00
даже при осиливании 1000строчек человеком за деньэто мало написать за день можно больше. не то что прочитать.
0 |
1
27-01-2008 14:24:45
можно и по 10^7 строк писать... только работать не будет. А _изучать_ чужой код в поисках ошибок, это не книжку на диване листать.
0 |
1
24-01-2008 13:29:22
Пиар компании, пиар проприетарного софта. Информативность - ноль. Конкретные цифры в студию!
0 |
1
24-01-2008 13:35:50
опять пиар... больше похоже что они почитали багтрекинг и выбрали то что им понравилось
0 |
Страницы: 1  2