Open-Source-Software
Die am häufigsten übersehenen Sicherheitslöcher in Open-Source-Programmen
Die Risk-Management-Firma Palamida hat im vergangenen Jahr 300 Millionen Zeilen Code von Open-Source-Anwendungen auf Schwachstellen hin untersucht. Hier die »Top 5«, die nach Ansicht des Unternehmens von Usern am häufigsten übersehen werden.
Für etliche Lücken wurden laut Palamida mittlerweile Patches herausgebracht. Nach den Erfahrungen des Unternehmens haben jedoch viele Anwender diese Updates nicht eingespielt.
1. Geronimo 2.0: Der Applikationsserver der Apache Software Foundation enthält einen Fehler im Log-in-Modul. Ihn können Angreifer dazu nutzen, um die Authentifizierung zu umgehen und sich Administratorrechte auf dem System zu verschaffen. Der Patch ist hier zu finden.
2. JBoss Application Server: Eine Schwachstelle im Deployment File Repository der Releases 3.2.4 bis 4.0.5 ermöglicht es Nutzern, die von außen auf den Server zugreifen, Files nach Belieben zu verändern oder Code einzuschleusen. Auch dafür gibt es einen Patch.
3. LibTiff-Library: Sie ist für das Lesen und Speichern von TIFF-Bilddateien zuständig. Die Library-Versionen bis 3.8.1. enthalten ein Kommandozeilen-Tool, mit dem sich TIFF-Bilder auf Unix- und Linux-Rechnern bearbeiten lassen. Mithilfe dieser Funktion können Hacker Integer-Overflows herbeiführen und fremdem Code einschleusen. Hier der Link zum Verzeichnis auf Debian.org, in dem der Sicherheits-Patch zu finden ist.
4. Net-SNMP, die am weitesten verbreitete Implementierung von SNMP für Linux: Betroffen sind die Versionen 1.0, 2c und 3.0. Wenn sie im Master-Agentx-Modus laufen, können sie Denial-of-Service-Angriffe ermöglichen. Dabei wird die TCP-Verbindung unterbrochen. Auf Sourceforge.net steht dafür ein Patch bereit.
5. Zlib, eine Datenkompressionssoftware: Zlib 1.2 enthält laut Palamida ein »Loch«, das ebenfalls DoS-Angriffe (Denial-of-Service) erlaubt. Mithilfe einer präparierten Datei lässt sich ein Buffer-Overflow herbeiführen. Abhilfe schafft das Upgrade auf Version 1.2.3 des Programms.
Wie Palamida betont, seinen solche Sicherheitslücken kein Grund, auf den Einsatz von Open-Source-Software zu verzichten. Vielmehr sollten die User darauf achten, stets die »aktuellste stabile« Ausgabe eines Programmes einzusetzen.
