Open source webové aplikace častým zdrojem zranitelností

4. 10. 2010

Sdílet

Společnost Qualys zaměřená na počítačovou bezpečnost vydala varování ohledně zranitelnosti populárních open source webových aplikací, které tak pro mnoho organizací přinášejí vysoké riziko.

A to často zcela zbytečně, neboť by stačilo je pravidelně aktualizovat na nejnovější verze...

Zranitelnosti v číslech
Podle aktuálních údajů zveřejněných společností Qualys vykazuje kritické zranitelnosti konkrétně 91 % webů využívajících open source blogovací nástroj Movable Type, dále 92 % webů používajících systém pro správu obsahu Joomla!, 95 % těch, jejichž provozovatelé se rozhodli pro wiki systém MediaWiki, a 85 % webů využívající software pro správu databáze phpMyAdmin.

Zcela nejhorší výsledek z hlediska kritických zranitelností pak podle Qualysu vykazuje systém pro diskuzní fóra phpBB, který ve všech případech (100 %) prokázal nedostatečnou bezpečnost. Trochu lepší je situace u Moodlu (74 % zranitelných webů), u Drupalu (70 %) a u publikačního systému SPIP (65 %). Jedinou světlou výjimkou byl WordPress, který vykazoval zranitelnost jen na 4 % všech sledovaných webů, což je podle zástupců Qualysu dáno dobře zvládnutým systémem aktualizací, jímž WordPress disponuje.

CTO společnosti Qualys Wolfgang Kandek říká, že standardní webové aplikace jsou oblíbeným cílem útočníků, které je pak zneužívají pro distribuci malwaru. Právě staré verze aplikací jsou podle něj „nemocí“ současného internetu a v řadě případů by k vyřešení problémů stačilo, aby správci příslušných webů byli na zastaralost upozorněni.

Zjišťování aktuálnosti
Prezentované údaje pocházejí ze vzorku 1 084 152 webů, které sleduje nástroj BlindElephant, což je open source nástroj, šířený pod licencí LGPL, který Qualys vydal právě za účelem hledání zastaralého softwaru. Cílem je „neinvazivně“ ověřovat verze webových aplikací na základě porovnávání hashů (otisků) souborů s již předpočítanými hashi v databázi. Netestují se tedy přímo zranitelnosti jako takové, ale primárně verze používané aplikace, z níž pak lze snadno odvodit rizika, která přináší. Kandek dodává, že pro mnoho administrátorů je obtížné neustále sledovat dostupnost posledních verzí jimi používaných aplikací a cílem je jim tuto činnost usnadnit.

Tento nekomerční nástroj totiž mohou organizace využívat pro sledování verzí aplikací využívaných pro běh vlastních webů a podle Qualysu je potřeba, aby se společnosti o bezpečnost svých webových aplikací začaly aktivně zajímat a udělaly maximum pro odstranění zranitelností. Také vývojáři by ale měli začít rozšiřovat svoje produkty o systémy automatické aktualizace, podobně jako je tomu například u internetových browserů.

Komunita sdružená kolem vývoje nástroje BlindElephant se nyní chce zaměřit na zvyšování počtu hashů dostupných webových aplikací, které mohou být následně porovnávány. Tyto otisky jsou vytvářeny pro všechny soubory spojené se sledovanými aplikacemi, čímž má být dosaženo co největší preciznosti při identifikaci jejich verzí.