这是一个创建于 3462 天前的主题,其中的信息可能已经有所发展或是发生改变。
安全漏洞介绍在这里: 安全预警: ImageMagick 图象处理软件存在远程代码执行(CVE-2016-3714) - FreeBuf.COM | 关注黑客与极客
LZ 知道开源不是万能的,不过 ImageMagick 这样流行的开源软件必然有少部分外部开发协作维护,为什么也会让这样严重的安全问题代码入库?
有了解类似情况的前辈能科普下不?
第 1 条附言 · 2016-05-05 12:51:09 +08:00
很多朋友回复的是软件会有 bug,这当然没问题。
不过一个图片转换软件为什么要读取并执行图片内容呢?imagemagick 有类似功能?这点我没能理解。
第 2 条附言 · 2016-05-05 21:27:33 +08:00
乌云的解释很清楚:[CVE-2016-3714 - ImageMagick 命令执行分析 | WooYun 知识库]( http://drops.wooyun.org/papers/15589#rd) 看来的确是有依赖内容调用第三方库执行命令,所以引起的问题。感谢部分答主耐心解释。
的确是犯了 ”永远不要相信用户的输入“ 类型的错,@justou 👍
LZ 的确新手一枚,少部分 V 友口下留情才能让 V 站更友好不是。;)
的确是犯了 ”永远不要相信用户的输入“ 类型的错,@justou 👍
LZ 的确新手一枚,少部分 V 友口下留情才能让 V 站更友好不是。;)
37 条回复 • 2016-05-06 09:23:35 +08:00
 |
1
function007 2016-05-05 09:17:20 +08:00  2
OpenSSL 笑而不语
|
 |
2
tony1016 2016-05-05 09:19:45 +08:00
安全 bug 本来就难以被发现。 openssl 比这货更流行,不也心脏出血
|
 |
3
congeec 2016-05-05 09:23:54 +08:00 1
开源的好处在于代码有很多人看,能发现部分 bug
当然,代码写的太乱谁也救不了。你看,一楼很懂 |
 |
4
zkd8907 2016-05-05 09:29:47 +08:00
开源!=安全
|
 |
5
akagi 2016-05-05 09:30:27 +08:00
复杂的边界条件没那么好判断
|
 |
6
realpg PRO LZ 被迫害妄想症泛滥么
这是作者故意写的? 2333333 |
 |
7
youxiachai 2016-05-05 09:32:54 +08:00
lz...压根就不知道一个安全漏洞..是历经何其复杂的过程.才被发现.......
|
 |
8
m8syYID5eaas8hF7 2016-05-05 09:35:41 +08:00
@youxiachai 对,之前看 struts 那个漏洞的分析贴,不认真看源码真的是什么都发现不了。。。。
|
 |
9
Testalias 2016-05-05 09:39:08 +08:00
NTP 也爆出漏洞了
|
|
10
akagi 2016-05-05 09:40:58 +08:00
@youxiachai +1 不过自动化工具可以代劳一部分
|
 |
11
xcodebuild 2016-05-05 10:00:20 +08:00
只要是软件都会有 bug 。。和开源不开源没关系
|
 |
12
sunsh217 2016-05-05 10:07:40 +08:00
免费给你用就不错了,还鸡鸡歪歪。 不想用可以不用。
|
 |
13
xbb7766 2016-05-05 10:14:14 +08:00 via Android
Openssl 和 bash 发来贺电
|
 |
14
leavic 2016-05-05 10:39:34 +08:00
我从来就不相信别人写的代码
|
 |
15
loading 2016-05-05 10:42:06 +08:00 2
对于开源项目,说句实话,大家都忙于完善功能,对于安全方面,很多都只修正浅显的漏洞。
|
 |
16
harry890829 2016-05-05 10:43:22 +08:00
然而,还有一部分人专门 review 代码找 bug 的,找到了拿到黑市卖……
|
 |
17
R4rvZ6agNVWr56V0 2016-05-05 10:50:25 +08:00 1
鄙人之见,代码中的安全问题往往是经验问题。 contributor 们虽然会写代码但并不一定有很强的意识去 review 代码做安全审查
|
 |
19
foonsun 2016-05-05 11:35:55 +08:00
openssl 笑了~
|
 |
21
janxin 2016-05-05 12:34:41 +08:00 via iPhone
为什么大公司的应用也有 bug 呢
|
 |
22
visonme 2016-05-05 12:43:23 +08:00 1
自古开源不缺坑,只是个臭虫那更加正常了。
流行度和有外部团队协作维护这不能说明它就不能有重大 bug ,只是在有些的空间和时间内,相对会减低 bug 而已,毕竟真正一天到晚针对 IM 的做安全测试的公司,团队,个人会有多少呢? 像 ms , google 等大公司有专业的安全 /测试团队,他们的产品也无法避免存在重大的 bug 的问题,所以对于开源我们不能要求太高了。 |
 |
23
zaishanfeng 2016-05-05 12:52:11 +08:00 via Android
额 漏洞之所以叫漏洞 是因为你没发现的时候它不叫漏洞
|
 |
24
ffffwh 2016-05-05 13:19:11 +08:00
不好的编程习惯引入的漏洞。
比方说这次是用了 system()来开 subprocess ,而不是 fork/exec 。 |
 |
25
skyworker 2016-05-05 13:24:43 +08:00
如果你能去传说中的"0day"漏洞交易市场看看, 那里的安全性 bug 估计会更让你叹为观止.
|
 |
26
superbear 2016-05-05 13:44:15 +08:00
你以为开源软件背后是一堆人在维护,其实可能只是一两个人在撑着
|
 |
27
zingl 2016-05-05 14:44:53 +08:00 1
“让这样严重的安全问题代码入库”
这马后炮放的 |
 |
28
SlipStupig 2016-05-05 14:50:56 +08:00
漏洞就跟 bug 一样,是人就会犯错
|
|
29
youxiachai 2016-05-05 15:13:52 +08:00
oh,no
lz 该从哪里吐槽呢.. "不过一个图片转换软件为什么要读取并执行图片内容呢? imagemagick 有类似功能?这点我没能理解。" 试问一些,一个图片转换文件,不读取文件内容,怎么转换... 至于后面那句"读取并执行图片内容",那是发现了这个远程执行漏洞...才有这个问题.....不知道 lz 能不能看懂.. 我感觉..lz 对于安全这块的知识几乎是空白的.. |
 |
30
palytoxin 2016-05-05 16:04:35 +08:00
ImageMagick 够难用了,谁说开源就一定好。 IDEA 把 eclipse 甩出一条街
|
 |
31
justou 2016-05-05 16:38:47 +08:00 1
永远不要相信用户的输入
|
 |
32
keakon 2016-05-05 17:02:49 +08:00
有个东西叫缓冲区溢出,没有做好检查的话,会一直往后写,导致栈被修改掉。而函数的返回地址也在栈里,就导致返回时跳到其他区域,就能执行攻击代码了。
|
 |
33
allenx 2016-05-05 20:29:23 +08:00
谁让现在这么多闲得蛋疼的人专门去找别人的漏洞呢
|
 |
35
binux 2016-05-05 21:53:59 +08:00 1
这个洞根本不能用粗心犯错解释的,完全就是经验习惯问题。
system 这么高危的调用,正常都要提起 12 分警觉。而且就像 sql 注入一样,过滤是不够的。 |
 |
36
lslqtz 2016-05-06 06:06:37 +08:00 via iPhone
openssl 笑而不语。
|
 |
37
Neveroldmilk 2016-05-06 09:23:35 +08:00
开源不代表安全吧,这就好比“公共汽车会比私家车安全”一样的伪命题。
|
Select Language