警惕Heartleed的同时别忘了许多开源应用也有漏洞

 Heartleed带来的伤痛还记忆犹新，这才过去几周时间，OpenSSL 密码库的一个漏洞又让全球网民陷入恐慌。

黑客可能利用这个漏洞披露安全连接的内容——如密码和信用卡交易。但更糟糕的是，另一个漏洞的发现带给网民的恐惧如同雪上加霜，就在爆出openssl漏洞的几周后，又爆出了OAuth和OpenID的漏洞。

据一名研究人员描述，事情还远没有就此结束。

有几百万基于Java的，以及其他开源应用都存在已知漏洞，有些漏洞都已经曝出有几年时间了，他警告称。甚至直到今天，仍然有人在下载这些应用。

Sonatype的Brian Fox在周三解释道，尽管许多项目都对漏洞进行了回应，且能迅速推出漏洞补丁，但问题是用户不会快速响应及时下载补丁来修复。

“更何况，攻击者都是通过相同机制来标识的，即，漏洞被发现和修补后，他们就具有先动优势，因为通常利用漏洞比更新应用框架要容易些。，”他写道。

在一些案例中，成百上千受影响的常用Java应用被数以千计的组织下载。

他说，受影响的Struts，一款广泛使用的应用框架， 9个月的时间里被一万多个组织下载了80500次以上，而它就有一个重要的原创代码执行漏洞。

与此同时，尽管Bouncy Castle仍然是Java密码运算法则中最受欢迎的安全屋，但它也包含一个漏洞，攻击者可利用这个漏洞来破坏自漏洞曝光五年内，20000多次下载所产生的加密数据。据称，超过4千家组织正在使用有漏洞的版本。

“这等于是把你想加密的东西曝光，”他说。

Heartbleed可能吓到了很多IT组织，但Fox警告称，还有很多开源应用并没有得到及时更新。

他暗示道，这种状况可能导致另一场Heartbleed式的攻击。