研究人员说开源软件项目需要改善漏洞处理实践

来自安全组织Rapid7的研究人员称，许多开源软件开发者都需要改进他们处理漏洞报告的方式，他们最近发现并报告了7个流行开源软件的多个漏洞。 在一些用户中有这样的想法，即开源软件比商业软件更安全，因为有更多的人可以看到源代码并提供反馈，或者因为开源软件可以更快的修补问题。

在阿姆斯特丹召开的一次RSA欧洲安全会议的周三采访中，Rapid7的产品市场经理Christian Kirsch说，Rapid7和Brandon Perry一起工作，来验证这一理论。后者是一名应用软件安全工程师，也是Metasploit侵入测试框架的固定贡献者。 八月初，Perry挑选了托管在SourceForge.net上的七个最流行的开源Web应用，并开始寻找其中的漏洞。Kirsch说Perry在两周的时间里，在所有的7个软件中都发现了安全缺陷。

研究者发现，通过验证的攻击者可以在被攻击操作系统的六个应用软件中执行远程命令：基于Web的课程学习管理系统Moodle，有着超过470万的下载量；基于Web的客户关系关系系统vTiger，下载量超过360万；用于企业网络及应用性能监控的软件Zabbiz，下载量接近300万；Linux服务器虚拟主机控制面板ISPConfig，下载量150万；基于Debian Linux，面向网络附加存储(NAS)服务器的操作系统发行版OpenMediaVault，下载量超过70万；基于FreeBSD的网络附加存储(NAS)服务器NAS4Free，下载量超过60万。

Perry还发现Openbravo ERP系统的XXE(XML外部实体）脆弱性,Openbravo ERP是一个开放源代码的企业资源规划(ERP)产品,在SourceForge上它的下载数有2'100'000次。这就可能允许攻击者以运行这个应用用户的权限读取文件系统中的任何文件。 然后，研究者和Rapid7更换了开发人员，并且与计算机紧急响应小组合作中心（CERT/CC)一起合作披露此脆弱性。他们还一起开发了用于探寻脆弱性的多个Metasploit探寻模块，而且在周三发布了这些模块。

这七个软件项目只有两个，Openbravo ERP和vtiger CRM，把这个问题报告给他们。四个项目表示，他们不会修正基于身份验证的远程命令执行问题，因为他们相信就是如此设计的，最后一个项目没有交流他们的计划，Kirsch说。 认证后的命令执行问题本身不是一个漏洞，但它是安全问题的一次曝光，Kirsch说。开发者假设为他们安装应用的人也管理整个服务器，但这个假设不总是正确的，尤其是在共享主机环境下，或者在那些有独立团队负责基础设施和应用的组织中，他说。

这个问题也可以用来在一些系统上绕过那些为防止人们轻易获得root访问权的强认证需求配置。如果应用程序在一个只需要用户名和口令进行身份验证的系统上运行，并允许系统上经过身份验证的命令执行，那么严格管制也被绕过了，Kirsch说。 在向有关的软件项目确定安全问题的过程中，当处理到漏洞报告和安全人员的工作时，Rapid7发现他们中的很多没有遵循共同的行业共识。

“在这七个项目中，我发现了至少七种处理传入漏洞报告的方法，”，Tod Beardsley，Metasploit的工程经理，星期三在博客中说。 “我不会提是哪个公共的bug跟踪系统，它的项目的代表索要的是这份披露的密码保护压缩版本，另一个方面它们却毫不迟疑的以明文格式把它e-mail回来，对问题的防备水准很让我担心”，他说。

Kirsch说到，尽管像Apache和Mozilla这样的一些大型开源软件开发方在漏洞报告的处理方面已经有了不错的进展，一些较为小型的开源项目还没有把漏洞报告的处理视为日常必需的工作，对他们而言，还有很多自我提高的空间。 Rapid7发布了一个推荐列表，列表中包含了改善漏洞处理的一些方法。比如建立专用的安全邮箱地址用来接收漏洞报告（邮箱地址通常是security@domain），创建一个PGP密钥并且将其发布到易于获取的地方，对进行漏洞处理的敏感的通信部分进行加密，收到漏洞报告后进行确认，通知应用开发者漏洞的补丁信息等等。