谷歌员工帮助数千个开源项目修补关键的“疯狂小工具漏洞”
配音玫瑰中心行动,该倡议由大约50名谷歌员工自愿发起,他们利用20%的工作时间在Github上修补了2600多个易受“Mad Gadget漏洞”攻击的开源项目
疯狂小工具漏洞(CVE-2015-6420)是Apache Commons Collections(ACC)库使用的Java反序列化中的一个远程代码执行错误,它可能允许未经验证的远程攻击者在系统上执行任意代码。
ACC库被许多Java应用程序广泛部署,用于解码计算机之间传递的数据。要利用此漏洞,未经授权的攻击者只需向使用ACC库的目标系统上的应用程序提交恶意创建的输入。
一旦受影响系统上易受攻击的ACC库反序列化内容,攻击者就可以在受损系统上远程执行任意代码,然后利用这些代码进行进一步的攻击。
还记得对市政地铁系统的勒索软件攻击吗?去年晚些时候,一名匿名黑客成功感染并接管了2000多台计算机,这些计算机使用了旧金山公共交通系统运行软件中相同的疯狂小工具缺陷。
在Mad Gadget漏洞被公开披露后,几乎所有商业企业,包括Oracle、Cisco、Red Hat、VMWare、IBM、Intel、Adobe、HP、Jenkins和SolarWinds,都正式披露他们受到了该漏洞的影响,并在其软件中对其进行了修补。
然而,在所有大企业修补该漏洞几个月后,谷歌的一名员工注意到,几个著名的开源库仍然依赖于易受攻击的ACC库版本。
Justine Tunney说:“我们认识到行业最佳实践已经失败。需要采取行动来确保开源社区的安全。因此,我们不是简单地发布安全建议,要求每个人解决该漏洞,而是成立了一个工作组来更新他们的代码。这一行动被称为Rosehub行动”,TensorFlow上的软件工程师,在谷歌开源博客上写道。
在Rosehub操作下,补丁被发送到许多开源项目,尽管谷歌员工只能在GitHub上修补直接引用ACC库易受攻击版本的开源项目。
根据开源博客,如果旧金山市交通局的软件系统是开源的,谷歌工程师也将能够为他们提供疯狂小工具的补丁,并且他们的系统永远不会受到损害。
