撰文及整理:叡揚資訊 資安事業處
在2017年起,WhiteSource開始統計每年OpenSource十大弱點排名,並建立起這個傳統,讓您可以快速的了解OpenSource中最令人不安和常見的弱點。從那時候開始,我們努力的發布排名前5的OpenSource弱點。我們的研究團隊找出2018年WhiteSource資料庫中,新增加的OpenSource弱點,而這些弱點來自多個地方,其中包括
美國國家弱點資料庫(NationalVulnerabilityDatabaseNVD),以及其他公開的資訊、同行評審的安全建議和問題追蹤網站等等。
您可能會注意到列表中,一些弱點的編號是WS開頭的,而不是熟悉的CVE編號。WS編號的弱點是還沒被新增到NVD中,但已經存在我們的資料庫。雖然NVD是一個綜合的弱點資料庫,卻只有86%的OpenSource弱點存在於CVE資料庫中,而其餘的弱點則在其他平台上發布。這就是為什麼WhiteSource的OpenSource弱點資料庫的資訊超出NVD的弱點資料庫,並且不斷的收集來自其他OpenSource的資料。
以下是我們在2018年發布的十大OpenSource弱點排名。
1. LinuxKernelnetfilter:xt_TCPMS
弱點分數:High—9.8
版本:Linuxkernelbefore4.11和4.9.xbefore4.9.36
Linux是一個活躍的社群,不斷整理他們的
OG專案。這就是今年為什麼出現這麼多Linux弱點的原因之一,並且列在此排名中。最後,我們決定在排名中,選出netfilter:xt_TCPMSS弱點,因為它具有超高的弱點分數,同時這些有弱點的版本也廣受大眾所使用。
netfilter:xt_TCPMSS是核心等級的套件,透過定義合法的TCPHeader來協助過濾網路通訊。他的功能就如同河川中的水壩,用以防止山谷被洪水淹沒。
惡意的使用者可以利用此功能,藉由大量發送訊息而導致系統當機,造成拒絕服務攻擊(DenialofServiceAttack)。考慮到這個套件是此系統的核心元件,其攻擊效果可能具有相當大的破壞性和廣泛性。這就是為什麼這個可怕的弱點得分如此高的原因。CVSSv2得分為10分,CVSSv3得分為9.8分。
2. Macaddress WS-2018-0113
弱點分數:Critical—10
影響的版本:Allversionspriorto0.2.9
2018年中,發現了一個CommandInjection(命令注入)弱點,這個元件是提供Linux、OSX和Windows中檢視MAC位址的OpenSource。這是一個非常受歡迎的library,目前每週下載量為563,699次。這造成很多系統容易受到。根據,使用者必須更新到0.2.9或較新的版本。
node-macaddress弱點(WS-2018-0113)是此排名中第一個WS標記的範例,該弱點並不在大家所熟知的NVD資料庫中,我們將此列入WS的弱點資料庫,因此提醒我們,涵蓋所有OpenSource基礎安全方面是很重要的。
您可以在以下找到有關此弱點的更多資訊。
3. Drupal
影響的版本:7.58,8.xbefore8.3.9,8.4.xbefore8.4.6,and8.5.xbefore8.5.1
影響的版本:multiplesubsystemsofDrupal7.xand8.x
弱點分數:Critical—9.8
3
月對於Drupal的開發者來說並不是一個開心的月份。對於大多數關心安全議題和Drupal的社群,簡稱為Drupalgeddon2.0。由於Drupal的核心套件中存在輸入驗證問題,在現今主流的OpenSource中,擁有多個平台多個版本的套件總是讓Web的開發人員會面臨更困難的挑戰,也容易受到惡意的攻擊。 Drupal團隊
發布了一份安全聲明,通知網站管理員安排每周的安全更新。督促管理員「預留更新時間」,因為「可能會在數小時或數天內爆發出零時差攻擊」。
由於許多Drupal管理員仍試圖防範這些弱點問題,2018年4月通報了另一個弱點。這次,
Drupal安全公告,警告大家Drupalcore中出現一個新的
遠端程式碼執行(RCE)弱點。新的弱點類似CVE-2018-7600,是因為修復之前的漏洞未涵蓋所有情況而又產生新的漏洞。雖然弱點被廣泛的宣傳,許多管理員採取行動確保安全,但似乎還有很多人沒有跟上。
根據發布的兩個Drupal弱點中,第一個弱點爆出後的兩個月,發布安全性的研究,發現很
多個挖礦劫持程式(Cryptojacking)正積極的攻擊數百個Drupal網站上的弱點。研究人員最近發現,
超過115,000個Drupal網站正在執行過舊而且容易受攻擊的版本,這是不應該出現的問題。這是另一個嚴重的教訓,意思是說,基於OpenSource弱點的重要性,應該盡快將程式碼修
復並持續的追蹤。雖然更新Drupal版本可能很麻煩,但卻能永遠防止駭客的入侵。
4. SpringDataCommons
弱點分數:Critical—9.8
弱點分數:High— 7.3
影響的版本:versions1.13to1.13.10,2.0to2.0.5,andolderunsupportedversion
2018年4月,在SpringDataCommons專案中,帶給我們的是不只一個弱點,而是兩個嚴重的弱點。可怕的弱點,可以被駭客用來控制系統並且透過遠端程式碼的執行,攻擊並執行未經授權的任何操作。第二個,雖然得到較低的弱點分數,但是並不能忽視。此弱點是因解析路徑參數造成資源被無限制使用。未經身份驗證的遠端攻擊者可以利用解析路徑參數對SpringDataREST端點或端點所發出的請求,從而導致拒絕服務(DoS),造成CPU和記憶體的消耗。
SpringDataCommons專案是備受期待的OpenSourceOG的一部分,SpringFramework是一個Java應用程式的開發框架。SpringData專案簡化了資料庫的連接,支援許多資料庫模組。開發人員常說,程式碼與資料庫連線設計是很枯燥無聊的動作。SpringData是改善此行為而且能夠節省時間。SpringData提供各個子專案,來支援各種特定的資料庫。
SpringDataCommons藉由抽象化(abstracting)型別,來支援這些特定資料庫的模組。SpringData同時提供專案基本的實作和介面,其中包含technology-neutral資料庫介面和用於靜態Java類別的metadata模組。
5. Requests
弱點分數:Medium—4.3
影響的版本:through2.19.1before2018-09-14
11月的另一個新上榜的弱點是在Requests套件中發現的一個遠端攻擊弱點,這是Python的一個受歡迎OpenSourceHTTPlibrary,平均每日
下載量為40萬。安全研究人員發現,Requests套件有弱點的版本,在接收特定的HTTP標頭(header)時可能會洩露敏感訊息。也因為該版本在接收相同主機名稱https-to-http重定導向時,會向HTTPURI發送HTTPAuthorization標頭,這會讓遠端攻擊者更容易發現傳送資料時未經驗證。如果你用Python編寫程式碼,最好檢查和確認是否使用到有漏洞版本的Requests套件,並確保可以盡快的更新。
相關解決方案:
相關文章分享:
