科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道应用安全警惕Heartleed的同时别忘了许多开源应用也有漏洞

警惕Heartleed的同时别忘了许多开源应用也有漏洞

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

最新研究表明,2013年,用户下载的基于Java,但包含已知安全漏洞的开源组件超过四千六百万。

来源:ZDNet安全频道 2014年5月9日

关键字: OpenSSL漏洞 开源应用 java

  • 评论
  • 分享微博
  • 分享邮件

 Heartleed带来的伤痛还记忆犹新,这才过去几周时间,OpenSSL 密码库的一个漏洞又让全球网民陷入恐慌。

黑客可能利用这个漏洞披露安全连接的内容——如密码和信用卡交易。但更糟糕的是,另一个漏洞的发现带给网民的恐惧如同雪上加霜,就在爆出openssl漏洞的几周后,又爆出了OAuth和OpenID的漏洞。

据一名研究人员描述,事情还远没有就此结束。

有几百万基于Java的,以及其他开源应用都存在已知漏洞,有些漏洞都已经曝出有几年时间了,他警告称。甚至直到今天,仍然有人在下载这些应用。

Sonatype的Brian Fox在周三解释道,尽管许多项目都对漏洞进行了回应,且能迅速推出漏洞补丁,但问题是用户不会快速响应及时下载补丁来修复。

“更何况,攻击者都是通过相同机制来标识的,即,漏洞被发现和修补后,他们就具有先动优势,因为通常利用漏洞比更新应用框架要容易些。,”他写道。

在一些案例中,成百上千受影响的常用Java应用被数以千计的组织下载。

他说,受影响的Struts,一款广泛使用的应用框架, 9个月的时间里被一万多个组织下载了80500次以上,而它就有一个重要的原创代码执行漏洞。

与此同时,尽管Bouncy Castle仍然是Java密码运算法则中最受欢迎的安全屋,但它也包含一个漏洞,攻击者可利用这个漏洞来破坏自漏洞曝光五年内,20000多次下载所产生的加密数据。据称,超过4千家组织正在使用有漏洞的版本。

“这等于是把你想加密的东西曝光,”他说。

Heartbleed可能吓到了很多IT组织,但Fox警告称,还有很多开源应用并没有得到及时更新。

他暗示道,这种状况可能导致另一场Heartbleed式的攻击。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章