Depois de analisar 300 milhões de linhas de código no ano passado, a Palamida identificou as cinco vulnerabilidades menos detectadas pelos utilizadores em software open source.



Os erros detectados são falhas já corrigidas pelos projectos responsáveis pelo software mas que ainda continuam a ser encontradas na base de utilizadores dos produtos, nomeadamente em ambientes empresariais e governamentais.



A lista é iniciada pela aplicação Geronimo 2.0, da Apache Software Foundation, que contém uma vulnerabilidade no módulo de login. Esta falha permite que os atacantes contornem os requisitos de autenticação, instalem malware e ganhem privilégios de administrador do sistema.



Segue-se o erro encontrado no DeploymentFileRepository da JBoss Application Server, da Red Hat. A vulnerabilidade afecta todas as versões desde a 3.2.4 até à 4.0.5 e permite que os utilizadores façam autenticações remotas, acedendo ou modificando ficheiros arbitrários. A execução de códigos maliciosos também é possível.



A terceira falha frequentemente detectada é a LibTiff library, utilizada para ler e conceber ficheiros Tagged Image File Format, o conhecido formato TIFF. Todas as versões desta ferramenta anteriores à 3.8.2 contêm linhas de comando que permitem a manipulação das imagens em sistemas Linux e Unix.



Outro erro frequente encontra-se no Net-SNMP, ou o programa que opera com o protocolo SNMP. A falha encontra-se nas versões 1.0, 2 e 3.0. Quando certas versões do Net-SNMP estão a ser executadas no modo master agentx, o software permite ataques remotos que causam erros denial of service, desligando as ligações TCP/IP.



Por fim, a última vulnerabilidade é detectada no software Zlib, nomeadamente na versão 1.2 e superiores. Esta falha é também responsável por erros de negação de serviço que causam um buffer overflow no sistema.



Todas estas falhas têm as correcções disponíveis nas páginas dos projectos responsáveis pelas diferentes aplicações.



Notícias Relacionadas:

2008-01-10 - Falhas em software open-source apontadas por agência norte-americana