许多开源软件开发人员需要提高他们处理漏洞报告的方式,根据安全公司Rapid7的研究人员,他们最近发现和报告了七种流行的开源软件应用程序中的漏洞。
一些用户之间的思想思考,即开源软件比商业软件更安全,因为有更多的人正在寻找源代码并提供反馈,或者因为开源项目可以更快地解决问题。
RAPID7在RAPID7的产品营销经理Christian Kirsch,在阿姆斯特丹的RSA欧洲安全会议周三的采访中,努力测试该理论,以测试该理论,以测试该理论,努力使用Brandon Perry,以测试该理论。
八月初,Perry选择了SourceForge.net上托管的最受欢迎的开源Web应用程序中的七个,并启动了在其中寻找漏洞。Kirsch说,在两周内,他发现了所有的安全缺陷。
研究人员发现了一个问题,可以允许远程经过身份验证的攻击者在六个应用程序中对底层操作系统执行命令:Moodle,基于Web的学习/课程管理系统,从SourceForge下载超过470万次;VTIGER,基于网络的客户关系管理系统,下载超过360万;Zabbiz,一种用于监控网络和近300万下载的企业网络和应用程序性能的软件产品;ISPConfig,Linux服务器的Web托管控制面板,下载150万台;OpenMediaVault,一种基于Debian Linux的OS分发,适用于网络连接的存储服务器,超过70万下载;和NAS4FREE,一个基于FreeBSD的网络连接的存储服务器OS,下载超过60,000个。
佩里还发现Openbravo ERP中的XXE(XML外部实体)漏洞,一个开源企业资源规划(ERP)产品,在SourceForge上下载了21万个下载,这可能允许攻击者从文件系统中读取任意文件用户运行应用程序。
然后,研究员和Rapid7然后警告开发人员并与计算机应急响应团队协调中心(CERT / CC)合作,协调披露。他们还开发了Metasploit用于漏洞的漏洞模块发布了他们在星期三。
只有七个软件项目中只有两个,Openbravo ERP和VTiger CRM,修补了向他们报告的问题。Kirsch说,四个项目表示他们不会修复经过身份验证的遥控命令执行问题,因为他们认为它是通过设计,一个项目没有传达他们的计划,Kirsch说。
Kirsch说,后验证命令执行问题不是本身的漏洞,但它是一种曝光安全影响。该开发人员假设安装其应用程序的人也管理整个服务器,这并不总是如此,特别是在共享托管环境中或单独团队监督基础设施和应用程序的组织中。
此问题还可用于绕过某些操作系统上配置的强大身份验证要求,以防止人们轻松获得根访问。如果在这样的系统上运行的应用程序只需要身份验证的用户名和密码,然后允许在操作系统上进行身份验证的命令执行,然后Kirsch表示,绕过更严格的控件。
在将确定的安全问题披露到相关的软件项目的过程中,RAID7发现,在处理漏洞报告和与安全研究人员合作时,他们中的许多人并未遵循共同的行业实践。
“在这七个项目中,我发现至少有七种不同的方法来处理传入的漏洞报告,”Metasploit的工程经理Tod Beardsley,周三表示博客帖子。
“我不会提到哪个项目代表要求我们披露的密码保护的ZIP文件,而另一个项目在公共错误跟踪器上提交了问题,该网站追踪器将及时通过清除文本重新发送给它,但我遇到的准备水平是令人不安,“他说。
虽然一些大型开源软件开发人员喜欢Apache软件基础或Mozilla具有良好的流程,用于处理漏洞报告,但对于较小的开源项目,有很多额外的教育空间,这些项目不处理这一点Kirsch说,每日地区。
Rapid7发布了一个建议列表,包括创建专用安全电子邮件地址 - 通常是安全@域 - 要接收漏洞报告,创建一个PGP键并在某处将其发布,在那里易于查找,加密涉及漏洞的敏感通信,承认涉及漏洞,承认涉及漏洞的敏感通信收到漏洞报告,通知应用程序用户有关修补漏洞,以及更多。