Новые уязвимости в “безопасном Open Source”

crash-kernel-panic     Продолжает разгораться очередной скандал с обнаружением уязвимостей, возраст которых более 20 лет, в Open Source проектах. Не успело сообщество отойти от шока, вызванного обнародованием уязвимостей ShellShock, обнаруженных на прошлой неделе в bash, как сотрудник Red Hat Флориан Ваймер и сотрудник Google Михаил Залевский, сообщили еще о 4-х новых. Уязвимости, обнаруженные Флорианом Ваймером, возникающие из-за некорректной обработки операций с памятью при разборе выражений, перечёркивают все прошлые усилия по закрытию ShellShock и позволяют удалённо выполнять любые команды. Михаил Залевский, отказался публиковать подробности об обнаруженных им уязвимостях до внесения исправлений в bash. Учитывая, что для разбора кода функций в bash применяется большой универсальный пласт кода, который написан без оглядки на обработку данных, поступающих извне, неизвестно сколько ещё уязвимостей нас ожидает впереди.
      К сожалению, последние громкие скандалы с Open Source продуктами ставят под очень серьезное сомнение одно из наиболее часто декларируемых преимуществ открытого ПО. Нам постоянно рассказывают что сообщество мгновенно исправит все уязвимости ибо ему доступен код и поэтому открытое=безопасное. Однако, судя по последним событиям, это далеко не так. Как оказалось из огромной армии использующих, этот код никто не проверял, хотя исходные коды были доступны всем.

Запись опубликована в рубрике Без рубрики. Добавьте в закладки постоянную ссылку.

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход /  Изменить )

Google photo

Для комментария используется ваша учётная запись Google. Выход /  Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход /  Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход /  Изменить )

Connecting to %s