وب سایت جامعه کاربران لینوکس استان یزد

صفحه اصلی

مقالات

برنامه های اپن سورس امنیت ندارد!

مقالات - مقالات

نویسنده lord.t

۰۴ مرداد ۱۳۸۷

با سلام
جدیدا مطلبی با عنوان بالا توسط شرکت Fortify منتشر شده که ذهن هر تیزبینی را به فکر وامیدارد.. مطلب جالبی است...
به عنوان مثال در نرم افزارهای تست شده از برنامه JBOSS نام برده شده که خیلی عجیب است چرا که ردهت از آن حمایت میکند... خوب بالاخره برای ماکه اهل متن بازیم یکم جای سوال داشت که واقعا آیا این حرفها درست هستند یا خیر.
یک جستجوی اینترنتی با واژه Fortify jboss opencms و نتایج بسیار جالب به شرح زیر:

نکته‌ای که وجود دارد این دوستان Fortify بیشتر تمرکزشون روی communication and support issues بوده است ... حتی در جایی سخن از این آمده است که شماره تلفنی برای پیگیری کارها وجود ندارد.. بالاخره این هم یک نیازه..
شرکت Fortify یک شرکت امنیتی است که در مورد امنیت کدها بررسی انجام میدهد و اندکی تولز آنالیز استاتیک هم دارد..

در جایی از این گزارش مطلب زیر آمده است:

Fortify identified a total of 22,826 cross-site scripting and 15,612 SQL injection issues associated with multiple versions of the 11 open source software packages examined

مطلب زیر را بخوانید، علاوه بر اینکه نرم‌افزارهای مورد بحث را مورد بررسی قرار میدهد جوابی هم به مطلب بالا دارد که خیلی جالب است:

The projects in question:
Tomcat, Derby, Geronimo, Hibernate, Hipergate, JBoss, Jonas, OFBiz, OpenCMS, Resin and Struts.

For those who don't play in Java often:

Derby is an embedded database.
Tomcat, Geronimo, JBoss, Resin and JOnAS are Java (EE) app servers.
Hipergate and OpenCMS are (you guessed it) content management systems.
Hibernate is a persistent framework.
Struts is a web framework.

So of any of these, it seems that the only projects that would be open to XSS or SQL injection would be the CMS products. Unless they're referring to the web administration for the app servers?

The only way to have SQL injection attacks in javaland is if you're not using prepared statements or if your database driver isn't preparing/escaping properly.

So they're saying two CMS projects have tens of thousands of XSS and SQL injection vulnerabilities?

خوب دیگه این هم یک گاف خیلی جالبی است.. مشکلات امنیتی ذکر شده فقط در مورد cmsها کاربرد دارند. آیا واقعا این حجمه سوراخهای امنیتی فقط در دو نرم‌افزار. بنده خدا کاربران اونها باید تا الان جورو پاستنشون رو جمع میکرند ..... پس چرا اینطوری نیست؟

خوب حالا این دوستان Fortify چنانکه بر می‌آيد کاری که انجام داده‌اند این بوده که به صورت استاتیک توسط ابزار خودشان کدها را مورد بررسی قرار داده‌آند و مواردی را که به نظر این ابزار اشکال امنیتی بوده‌آند را گزارش داده و منتظر جواب شده‌اند، بر اساس بازخورد هم یک تصمیم‌گیری کرده اند.... نظر زیر به خوبی این رفتار بزرگان این شرکت را تحلیل کرده:

You're just on the edge, I suspect, of the reason they didn't get good responses from the maintainers of the code for the "vulnerabilities" they reported. That's because, in most cases, they probably weren't vulnerabilities. The authors of the report are the producers of a static analysis tool that -- you guessed it -- detects potential XSS and SQL injection vulnerabilities. Of course, it (like all such tools) has a very high false positive rate.
In the case of code that automatically generates SQL code algorithmically (not using hard-coded prepared statements, for example) like Hibernate, or generates HTML code algorithmically (like, say, pretty much any JSP implementation or templating language), the number of false positives is going to be huge.

Any bets they didn't bother stripping out those false positives before reporting the "vulnerabilities"?

این هم گاف بعدی. شاید یک ترجمه کوچیک از مطلب بالا خالی از لطف نباشه: در مطلب بالا آمده که « آنها یک طرفه به قاضی رفته اند. دلیل اینکه شرکت مذکور بسیاری از مواردی که به عنوان مشکل امنیتی ارسال کرده‌اند جوابی نگرفته‌اند این بوده که اصلا مشکل امنیتی نبوده‌اند.. چرا که آنها از خروجی حاصل از ابزارهای تحلیل استفاده کرده اند که این ابزارها در هنگامی که کدهای html به صورت پویا تولید میشوند گزارشات به خطای زیادی میدهند.» در آخر هم این سوال جالب رو پرسیده که «آیا بهتر نبود آنها قبل از اینکه موضوعی را به عنوان مشکل امنیتی گزارش دهند بررسی میکردند که آیا اصلا آن مشکلات،‌ مشکل امنیتی دارند یا خیر؟»

خوب دیگه این هم از نتایج خود شیفتگی این عزیزان fortify است.

مطلب زیر هم نظر جالبی دارد که خالی از لطف نیست:

This might be interesting news to me if they found problems with: Apache 2, PHP 5, Wordpress, Gallery 2, or Python 2.5, which is basically what my site runs on.

And yes, I know there's security problems with PHP and Wordpress. I'm just pointing out that they aren't targeting more popular software; wonder why?

به هر حال احتمالا خوانندگان محترم متوجه ماجرا شده اند به هر حال از شرکتی که با مایکروسافت دمخور است بیش از این نمیشود انتظار داشت..
به هر حال هم کانون نرم‌افزارهای متن باز دارای فارومهای بسیار قوی و میلینگ لیستهای بسیار پر کاربر هستند که کوچکترین مشکلات امنیتی را به اطلاع کاربران میرسانند. همچنین برنامه‌نویسان این نرم‌افزارها نیز از آنجایی که کد آنها در دسترس میباشد بسیار بر روی کد حساس بوده و همچنین بسیار فعال بر روی پروژه‌ها مشغول فعالیت هستند.

حالا نکته‌ای که وجود دارد و برای عقل سلیم باید واقعا مورد توجه قرار گیرد این است که به فرض محال که این مطلب درست باشد.. واقعا چه ملغمه‌ای در دنیای متن بسته است که یک کاربر از همه جا بیخبر به صورت چشم بسته و با اطمینان کامل در آن چرخ میزند در صورتیکه معلوم نیست در همان لحظه چه اتفاقاتی که در بستر ماجرا رخ میدهد و او هم بیخبر. حالا حداقل در دنیای متن باز ما به عنوان یک کاربر میدانیم که باید چشمان باز و تیزی داشته باشیم.

به هر حال این مطلب این موضوع را برای من یادآوری کرد که هر چه شنیدی زود باور نکن.. مخصوصا در دنیای کنونی که بیشتر مطالب خواستگاهی عیر علمی دارد. برای ختم کلام هم مطلب زیر را میگذارم که خالی از لطف نیست:

After the NSA-key hidden in Windows, and some reports of Vista "calling home" every now and then, I don't think closed-source is any more secure than open-source.
With open-source you can at least see what is happening. And, if the "community" doesn't react as quickly as you'd want, you can many times patch it yourself. Not so with closed-source.

That's a pathetic situation. Whoever is behind that report - and similar ones - has money, not security, in their mind.

البته ذکر این مطلب هم ضروری است که این شرکت از روی بررسی تنها 11 برنامه متن باز که خیلی هم مورد استفاده قرار نمیگیرند اینگونه نتیجه گیری کند که کل دنیای متن باز مشکل دارد واقعا رو که نیست...
موفق و پیروز باشید.

مواخذ مورد استفاده:
http://www.linuxworld.com.au/index.php/id;239169459
http://developers.slashdot.org/developers/08/07/21/1959217.shtml
http://www.networkworld.com/community/node/30134#comment-186430

بازدید: 464

یادداشت ها (2)

1. نویسنده bb, در تاریخ ۱۳۸۷/۰۹/۲۰ - ۲۲:۲۵:۱۳
u ki bashi ke bekhay az microsoft irad begiri

2. نویسنده lord.t, در تاریخ ۱۳۸۷/۱۰/۰۱ - ۰۰:۵۸:۵۳
i am nobody
فکر نمیکنم که در این نوشته اشکال خاصی به مایکروسافت گرفته شده باشد.

موفق باشید

ایجاد یادداشت
لطفا نظرات خود را در مورد این مطلب در اینجا ثبت کنید
نام:
پست الکترونیکی شما:
وب سایت شما:
عنوان:
BBCode:
یادداشت
کد امنیتی: (کد مقابل را داخل کادر وارد کنید)*
	ارسال یک رونوشت از یادداشت به پست الکترونیک شما