مع مرور السنين ، تتطور تقنيات المصدر المفتوح ، ولكن تظهر ثغرات أمنية جديدة ، مما يبقي مشكلة ثغرات أمنية مفتوحة المصدر دائمًا في قلب المجتمع. مع نهاية العام الماضي، قام فريق WhiteSource – وهو نظام مفتوح المصدر لتراخيص الأمان والتراخيص – بتجميع قائمة من 10 ثغرات أمنية جديدة مفتوحة المصدر لعام 2019 ، من أجل إبقاء المجتمع على اطلاع.
وفقًا لتقرير WhiteSource ، سجلت قاعدة بيانات المنصة في عام 2019 ما يقرب من 3.5 مليون ملف وحزمة مستضعفة تم جمعها من عشرات المصادر ، بما في ذلك قاعدة بيانات الضعف الوطنية (NVD) ، والاستشارات الأمنية وقواعد البيانات الأخرى لتتبع مشاكل المصادر المفتوحة ، لضمان التغطية الأكثر شمولية لثغرات المصدر المفتوح. وتتضمن قائمة العشرة الأوائل المعروفة لأمان الثغرات الأمنية المفتوحة المصدر ، وفقًا لـ WhiteSource ، مشكلات في المشروعات المكتوبة بلغات شائعة مثل JavaScript و Java و Go و C و Ruby.
تحتوي قائمة 2019 الجديدة لثغرات المصدر المفتوح الجديدة على ثغرات مع معرف يبدأ بـ WS ، ويختلف عن بادئة CVE الأكثر شيوعًا التي تحدد الثغرات الأمنية التي يحددها NVD. ووفقًا لتقرير WhiteSource ، فإن NVD لا يتضمن نقاط ضعف المصدر المفتوح المنشورة خارج قاموس المعلومات العامة المتعلقة بالثغرات الأمنية. نظرًا للطبيعة التعاونية وغير المركزية لمجتمع البرمجيات الحرة ، يتم نشر بعض نقاط ضعف البرامج المجانية خارج CVE ، على قواعد بيانات تتبع المشاكل المتعلقة بالمصادر المفتوحة أو غيرها من المشاريع. يجمع WhiteSource نقاط الضعف هذه مفتوحة المصدر ويعين لهم رقم فهرس بادئة WS بدلاً من بادئة CVE.
فيما يلي العناصر الستة الأولى لأهم 10 نقاط ضعف مفتوحة المصدر تم نشرها في 2019 بواسطة النظام الأساسي ، سواء كانت ثغرة أمنية في WS أو CVE:
- مكتبة Lodash
- JS-YAML
- fstream
- Python
- Noyau Linux
- Apache Tomcat
المعروفة سابقًا باسم WS-2018-0210 ، هذه الثغرة الأمنية المفتوحة المصدر في مكتبة Lodash – في الإصدارات قبل 4.17.11 – هي CVE جديدة. يُعرف الآن باسم CVE-2018-16487 ، وهو يمثل ثغرة أمنية حرجة 9.8 كانت تحت رادار WhiteSource ، وفي قاعدة بياناته ، لفترة من الوقت. نشر في عام 2019 في NVD ، بسبب شعبية المشروع ودرجة الضعف العالية ، قررت WhiteSource أن تدرجه في أفضل 10 نقاط ضعف جديدة مفتوحة المصدر في عام 2019.
تم العثور على إصدارات JS-YAML قبل الإصدار 3.13.1 لتكون عرضة لهجوم حقن الشفرة في عام 2019 ، ووفقًا للتقرير ، فإن مكون JavaScript هذا المشهور جدًا كان لديه عام صعب من تحديثات الأمان ، بسبب هذه المشكلة وغيرها. إنها ثغرة أمنية في WS باسم WS-2019-0063 ولديها درجة عالية تساوي 8. وفقًا لإشعار الأمان الصادر عن npm ، يمكن أن تقوم وظيفة load () بتنفيذ تعليمة برمجية عشوائية يتم حقنها بواسطة ملف YAML ضار.
توجد مشكلة عدم الحصانة هذه ، والتي تسمى CVE-2019-13173 ومع درجة عالية مساوية 7.5 ، في إصدارات fstream قبل الإصدار 1.0.12. وفقًا لاستشارة الأمان من npm ، تكون دالة fstream.DirWriter () ضعيفة. يؤدي استخراج الكرات التي تحتوي على ارتباط ثابت إلى ملف موجود بالفعل في النظام وملف يطابق الارتباط الثابت إلى استبدال ملف النظام بمحتويات الملف المستخرج.
هذا الرقم ، CVE-2019-16056 من الدرجة العالية 7.5 ، موجود في الإصدارات 2.7.16 و 3.x إلى 3.5.7 و 3.6.x إلى 3.6.9 و 3.7.x إلى 3.7.4. تم العثور على هذه المشكلة في الإصدارات الضعيفة من وحدة البريد الإلكتروني المعقدة في بيثون. قد تحلل الإصدارات المستضعفة عناوين البريد الإلكتروني بشكل غير صحيح إذا كانت تحتوي على أكثر من حرف واحد. يمكن للمهاجم استغلال هذه المشكلة لخداع تطبيق ضعيف وجعله يقبل عنوان بريد إلكتروني يجب رفضه.
وفقًا للتقرير ، لم يختلف 2019 عن سنوات نواة Linux. تم اكتشاف العديد من نقاط الضعف ، بما في ذلك CVE-2019-15292 من النقاط الحرجة 9.8 ، التي تم نشرها وتصحيحها بواسطة فريق Linux kernel. بالنظر إلى حجم المجتمع وحجم الكود ، من الطبيعي فقط أن يستثمر المجتمع الكثير لإيجاد وحل مشاكل هذا المشروع المفتوح المصدر ، والذي يدعم جزءًا كبيرًا من صناعتنا ، وفقًا لما ورد في تقرير.
في إصدارات المشروع التي تحتوي على ثغرة CVE-2019-0232 الخاصة بالنتيجة 8.1 ، عند التشغيل على نظام Windows مع تمكينCmdLineArguments ، فإن servlet Common Gateway Interface (CGI) في Apache Tomcat مفتوحة لتنفيذ التعليمات البرمجية عن بعد بسبب وجود خلل في الطريقة التي يمرر بها JRE وسيطات سطر الأوامر إلى Windows.
المصدر : WhiteSource