選單
GSS 技術部落格
在這個園地裡我們將從技術、專案管理、客戶對談面和大家分享我們多年的經驗,希望大家不管是喜歡或是有意見,都可以回饋給我們,讓我們有機會和大家對話並一起成長!
若有任何問題請來信:gss_crm@gss.com.tw
1 分鐘閱讀時間 (146 個字)

2018年Open Source弱點Top 10

front-view-mockup-of-macbook-pro-with-a-library

撰文及整理:叡揚資訊 資安事業處 

在2017年起,WhiteSource開始統計每年 OpenSource十大弱點排名,並建立起這個傳統,讓您可以快速的了解OpenSource中最令人不安和常見的弱點。從那時候開始,我們努力的發布排名前5的OpenSource弱點。我們的研究團隊找出2018年WhiteSource資料庫中,新增加的OpenSource弱點,而這些弱點來自多個地方,其中包括美國國家弱點資料庫(NationalVulnerabilityDatabaseNVD),以及其他公開的資訊、同行評審的安全建議和問題追蹤網站等等。 您可能會注意到列表中,一些弱點的編號是WS開頭的,而不是熟悉的CVE編號。WS編號的弱點是還沒被新增到NVD中,但已經存在我們的資料庫。雖然NVD是一個綜合的弱點資料庫,卻只有86%的OpenSource弱點存在於CVE資料庫中,而其餘的弱點則在其他平台上發布。這就是為什麼WhiteSource的OpenSource弱點資料庫的資訊超出NVD的弱點資料庫,並且不斷的收集來自其他OpenSource的資料。 以下是我們在2018年發布的十大OpenSource弱點排名。


163.1

 1. LinuxKernelnetfilter:xt_TCPMSCVE-2017-18017弱點分數:High—9.8版本:Linuxkernelbefore4.11和4.9.xbefore4.9.36Linux是一個活躍的社群,不斷整理他們的OG專案。這就是今年為什麼出現這麼多Linux弱點的原因之一,並且列在此排名中。最後,我們決定在排名中,選出netfilter:xt_TCPMSS弱點,因為它具有超高的弱點分數,同時這些有弱點的版本也廣受大眾所使用。 netfilter:xt_TCPMSS是核心等級的套件,透過定義合法的TCPHeader來協助過濾網路通訊。他的功能就如同河川中的水壩,用以防止山谷被洪水淹沒。 惡意的使用者可以利用此功能,藉由大量發送訊息而導致系統當機,造成拒絕服務攻擊(DenialofServiceAttack)。考慮到這個套件是此系統的核心元件,其攻擊效果可能具有相當大的破壞性和廣泛性。這就是為什麼這個可怕的弱點得分如此高的原因。CVSSv2得分為10分,CVSSv3得分為9.8分。 


163.2

2.    Macaddress WS-2018-0113弱點分數:Critical—10影響的版本:Allversionspriorto0.2.92018年中,發現了一個CommandInjection(命令注入)弱點,這個元件是提供Linux、OSX和Windows中檢視MAC位址的OpenSource。這是一個非常受歡迎的library,目前每週下載量為563,699次。這造成很多系統容易受到。根據,使用者必須更新到0.2.9或較新的版本。 node-macaddress弱點(WS-2018-0113)是此排名中第一個WS標記的範例,該弱點並不在大家所熟知的NVD資料庫中,我們將此列入WS的弱點資料庫,因此提醒我們,涵蓋所有OpenSource基礎安全方面是很重要的。 您可以在以下找到有關此弱點的更多資訊。https://github.com/scravy/node-macaddress/pull/20https://hackerone.com/reports/319467


163.3

3.    Drupal  CVE-2018-7600影響的版本:7.58,8.x before8.3.9, 8.4.x before 8.4.6,and 8.5.x before 8.5.1 CVE-2018-7602影響的版本:multiplesubsystemsofDrupal7.x and 8.x弱點分數:Critical—9.8 3月對於Drupal的開發者來說並不是一個開心的月份。對於大多數關心安全議題和Drupal的社群,簡稱為Drupalgeddon2.0。由於Drupal的核心套件中存在輸入驗證問題,在現今主流的OpenSource中,擁有多個平台多個版本的套件總是讓Web的開發人員會面臨更困難的挑戰,也容易受到惡意的攻擊。 Drupal團隊發布了一份安全聲明,通知網站管理員安排每周的安全更新。督促管理員「預留更新時間」,因為「可能會在數小時或數天內爆發出零時差攻擊」。 由於許多Drupal管理員仍試圖防範這些弱點問題,2018年4月通報了另一個弱點。這次,Drupal安全公告,警告大家Drupalcore中出現一個新的遠端程式碼執行(RCE)弱點。新的弱點類似CVE-2018-7600,是因為修復之前的漏洞未涵蓋所有情況而又產生新的漏洞。雖然弱點被廣泛的宣傳,許多管理員採取行動確保安全,但似乎還有很多人沒有跟上。 根據發布的兩個Drupal弱點中,第一個弱點爆出後的兩個月,發布安全性的研究,發現很多個挖礦劫持程式(Cryptojacking)正積極的攻擊數百個Drupal網站上的弱點。研究人員最近發現,超過115,000個Drupal網站正在執行過舊而且容易受攻擊的版本,這是不應該出現的問題。這是另一個嚴重的教訓,意思是說,基於OpenSource弱點的重要性,應該盡快將程式碼修復並持續的追蹤。雖然更新Drupal版本可能很麻煩,但卻能永遠防止駭客的入侵。


163.4

4.    SpringDataCommonsCVE-2018-1273弱點分數:Critical—9.8CVE-2018-1274弱點分數:High— 7.3影響的版本:versions1.13to1.13.10,2.0to2.0.5,andolderunsupportedversion2018年4月,在SpringDataCommons專案中,帶給我們的是不只一個弱點,而是兩個嚴重的弱點。可怕的弱點,可以被駭客用來控制系統並且透過遠端程式碼的執行,攻擊並執行未經授權的任何操作。第二個,雖然得到較低的弱點分數,但是並不能忽視。此弱點是因解析路徑參數造成資源被無限制使用。未經身份驗證的遠端攻擊者可以利用解析路徑參數對SpringDataREST端點或端點所發出的請求,從而導致拒絕服務(DoS),造成CPU和記憶體的消耗。 SpringDataCommons專案是備受期待的OpenSourceOG的一部分,SpringFramework是一個Java應用程式的開發框架。SpringData專案簡化了資料庫的連接,支援許多資料庫模組。開發人員常說,程式碼與資料庫連線設計是很枯燥無聊的動作。SpringData是改善此行為而且能夠節省時間。SpringData提供各個子專案,來支援各種特定的資料庫。SpringDataCommons藉由抽象化(abstracting)型別,來支援這些特定資料庫的模組。SpringData同時提供專案基本的實作和介面,其中包含technology-neutral資料庫介面和用於靜態Java類別的metadata模組。 要了解更多弱點的資訊,請連結CVE-2018-1273CVE-2018-1274的Pivotal弱點報告。

163.5

5.     RequestsCVE-2018-18074弱點分數:Medium—4.3影響的版本:through2.19.1before2018-09-1411月的另一個新上榜的弱點是在Requests套件中發現的一個遠端攻擊弱點,這是Python的一個受歡迎OpenSourceHTTPlibrary,平均每日下載量為40萬。安全研究人員發現,Requests套件有弱點的版本,在接收特定的HTTP標頭(header)時可能會洩露敏感訊息。也因為該版本在接收相同主機名稱https-to-http重定導向時,會向HTTPURI發送HTTPAuthorization標頭,這會讓遠端攻擊者更容易發現傳送資料時未經驗證。如果你用Python編寫程式碼,最好檢查和確認是否使用到有漏洞版本的Requests套件,並確保可以盡快的更新。 可以在GitHub上找到更多的修復建議。

相關解決方案:OpenSource檢測工具

相關文章分享:
GSS資安電子報0157期【5個常見開發工程師使用OpenSource會犯的錯誤】
GSS資安電子報0149期【最新網頁常見10大風險-OWASPTOP102017】

使用 OpenTracing - Jaeger (BFv3 使用 Fody)
PCI SSC 安全標準介紹及案例

相關文章