安全專家指出開放原始碼重大漏洞

| | | | | | 6則回應

    

雖然向來都是微軟的漏洞佔據了新聞的頭條，不過資訊安全研究人員上週也在兩個常見的開放原始碼程式當中，發現新的漏洞。

其中比較嚴重的漏洞，是出現在開放原始碼的電子郵件伺服軟體Sendmail當中。Internet Security Systems的工程經理Dan Ingevaldson指出，Sendmail處理電子郵件標頭檔的程式中存有漏洞。

Ingevaldson表示，「這是一個非常嚴重的漏洞。」駭客可以利用這個漏洞進行入侵行為。另外一個在OpenSSH當中發現的漏洞，則不確定是否會被利用。

Ingevaldson指出，OpenSSH的漏洞，出現在網路管理員，以遠端登錄建立電腦以及網路設備加密管道的過程，「理論上是存在的，最後也可能真的被駭客利用。」

雖然目前還不清楚OpenSSH的漏洞會不會被入侵，但是一但證實真的可以被駭客利用，問題可能變得很嚴重。卡內基美濃大學CERT協調中心的網際網路安全分析師Jason Rafail表示，這個漏洞出現在身分認證之前，也就是說使用者不需具有管理員的權限，即可入侵系統。

CERT在上週二發佈了針對OpenSSH漏洞的安全建言；星期四時發佈Sendmail的漏洞。

OpenSSH的漏洞影響3.7.1之前的版本，對記憶體緩衝區（buffer）的運作造成問題。思科（Cisco）表示有產品受到影響，至於Red Hat、昇陽、IBM Linux版本的AIX Toolbox，也都使用了存在漏洞的OpenSSH。

Sendmail的漏洞則影響了8.12.10之前的版本。惠普、IBM、Red Hat都有採用Sendmail軟體，也都可能受到影響。

Ingecaldson表示，一般都是大型企業在使用這兩種軟體，這些大企業也是駭客特別注意的目標，「駭客喜歡攻擊高價值的目標。」

這兩個漏洞出現的時機，也正是大家將焦點集中在病毒作者可能利用Windows漏洞撰寫出新病蟲的狀況下。

新的漏洞，也成為Windows商用軟體和Linux等開放原始碼軟體，哪一個比降安全的爭論焦點。

Ingevaldson表示，「每一年當中，開放原始碼社群當中出現的漏洞和微軟的漏洞一樣多。」Ingecaldson指出，兩者之間很難比較，不過他也注意到兩方使用類似工具的開發人員，在面對數千數百萬行的程式碼，都面對了類似的挑戰。

在企業阻擋了大約65000個網路連接埠的同時，駭客會主攻電子郵件和網頁所使用的通訊埠，以侵入整個網路系統。

Ingevaldson表示，「開放原始碼社群和大的商業軟體廠商，所面對的問題其實是一樣的。」（黃晨哲）