計(jì)算機(jī)漏洞是關(guān)系到大家上網(wǎng)安全的大事。向日葵漏洞防護(hù)專欄最近注意到，安全漏洞審計(jì)和軟件風(fēng)險(xiǎn)管理公司Palamida對(duì)3億行代碼進(jìn)行審查之后發(fā)現(xiàn)了用戶在其開源軟件代碼中最容易忽略的五個(gè)安全漏洞。日葵漏洞防護(hù)認(rèn)為，如今在某些情況下，開源軟件的安全性無法保證，因此不能再將其與商業(yè)軟件相比較。開源軟件項(xiàng)目應(yīng)該正視其安全漏洞，并盡快采取措施加以修復(fù)。

下面是容易忽略的五個(gè)安全漏洞：

1.Geronimo 2.0

這個(gè)Apache的應(yīng)用服務(wù)器軟件在其登錄模塊中存在一個(gè)安全漏洞，讓遠(yuǎn)程攻擊者能夠繞過身份識(shí)別要求，部署一個(gè)替代的惡意軟件代碼模塊，并且獲得訪問這個(gè)服務(wù)器應(yīng)用程序的管理員權(quán)限。

日葵漏洞防護(hù)表示，這個(gè)訪問權(quán)限是通過使用Geronimo部署模塊中的命令行發(fā)送一個(gè)空白的用戶名和口令獲得的。一個(gè)空白的用戶名和口令應(yīng)該引起Geronimo 2.0中的“FailedLoginException”訪問控制模塊做出反應(yīng)，但是，它卻沒有反應(yīng)。

2.JBoss應(yīng)用服務(wù)器

JBoss應(yīng)用服務(wù)器3.2.4至4.0.5版的“DeploymentFileRepository”類中有一個(gè)目錄遍歷安全漏洞”。日葵漏洞防護(hù)提醒，這個(gè)安全漏洞允許遠(yuǎn)程身份識(shí)別的用戶讀取或者修改任意文件并且可能執(zhí)行任意代碼。

3.LibTiff開源軟件庫：

這個(gè)庫是用于讀寫TIFF(標(biāo)簽圖像文件格式)格式文件的。3.8.2版本以前的LibTiff 庫包含一個(gè)命令行工具，可在Linux和Unix系統(tǒng)中操作TIFF圖像文件，許多Linux發(fā)布版軟件中都有這個(gè)工具。

使用3.8.2版本以前的LibTiff 庫能夠讓依賴上下文的攻擊者通過數(shù)字范圍的檢查并且通過一個(gè)TIFF目錄中的大型補(bǔ)償值執(zhí)行代碼。這個(gè)大型補(bǔ)償值可能導(dǎo)致一個(gè)整數(shù)溢出安全漏洞或者其它意想不到的結(jié)果，構(gòu)成沒有檢查的算術(shù)操作。

4.Net-SNMP

這個(gè)安全漏洞存在于Net-SNMP或者應(yīng)用SNMP(簡單網(wǎng)絡(luò)管理協(xié)議)協(xié)議的程序中。1.0、2c和3.0版本的Net-SNMP協(xié)議都存在安全漏洞。

日葵漏洞防護(hù)提醒，當(dāng)以“master agentx”模式運(yùn)行Net-SNMP的時(shí)候，這個(gè)軟件能夠讓遠(yuǎn)程攻擊者通過引起一個(gè)特定的TCP連接中斷實(shí)施拒絕服務(wù)攻擊，造成系統(tǒng)崩潰。中斷TCP連接可產(chǎn)生一個(gè)不正確的變量。

5.Zlib：

Zlib是一個(gè)用于數(shù)據(jù)壓縮的軟件庫。Zlib 1.2和以后版本的軟件能夠讓遠(yuǎn)程攻擊者引起拒絕服務(wù)攻擊。這個(gè)攻擊旨在使用一個(gè)不完整的代碼解釋一個(gè)長度大于1的代碼，從而引起緩存溢出漏洞。

盡管存在安全漏洞，但向日葵漏洞防護(hù)認(rèn)為并不意味著人們應(yīng)該停止使用開源軟件代碼。相反，他們建議用戶應(yīng)該及時(shí)應(yīng)用安全補(bǔ)丁或者升級(jí)到軟件的穩(wěn)定版本，以確保系統(tǒng)的安全性。