当前位置:首页 > 时尚美妆 > PureSec揭示了OpenWhisk无服务器运行时的漏洞

PureSec揭示了OpenWhisk无服务器运行时的漏洞

PureSec在7月24日披露,它报告了Apacheopen晶须无服务器运行时的两个漏洞,这可能会使用户处于危险之中。open晶须是一个开源项目,也是IBM云功能服务的基础。CVE-2018-11756和CVE-2018-11757这两个漏洞可能会使远程攻击者覆盖易受攻击函数的源代码。open晶须已经修复了这些问题,而IBM却轻视了整体风险。

“在向Apache开放社区报告了这个非常低风险的漏洞后,IBM在一周内更新了我们的代码,以防止这个小漏洞影响open晶须的用户,”IBM Cloud Functions杰出的IBM工程师Michael Behrendt告诉eWEEK。“这种快速响应反映了在开放社区中构建和操作技术的许多好处,因为可以发现改进,并且可以快速纠正漏洞。

open晶须是一种无服务器技术,有时被称为功能即服务或事件驱动编程。在无服务器模型中,程序代码或“函数”是在一个只为给定函数服务的临时容器上执行的。其他流行的无服务器平台包括AWS Lambda和谷歌云功能。PureSec创始人兼首席技术官Ory Segal表示,他的公司正在比较和分析所有流行的无服务器平台。

Segal告诉eWEEK:“我们需要检查的问题之一是函数的隔离能力以及函数代码的不变性或缺乏完整性。”

特别是,Segal警告说,在修补open晶须之前,未经身份验证的最终用户可能会利用他们公司发现的漏洞。也就是说,没有迹象表明been晶须被利用这些漏洞的攻击者所利用。

Segal表示:“无服务器安全研发技术相当前沿,PureSec无疑是这一领域的先驱。”“我们没有在互联网和黑暗网络上看到任何与远程相关的东西,我们一直在监控。”

PureSec于7月19日宣布其无服务器安全平台全面上市。该平台包括静态分析算法,可以分析开发阶段的功能。没有服务器应用防火墙,调用后可以控制功能范围。还有其他供应商提供无服务器安全扫描,包括Twistlock,它在6月19日宣布了无服务器功能。

Segal表示,PureSec的团队认为,无服务器是云计算的未来,将为开发者和运营商带来收益。

他说:“在安全性方面,与传统架构相比,无服务器有很大的优势。”“功能是短暂的,不会长期存在,这一事实也降低了使用其基础架构进行长期运行的恶意活动的能力。”

换句话说,西格尔强调无服务器并不是应用安全的灵丹妙药。开发人员仍然负责构建健壮且安全的无服务器应用程序。

他说:“像任何其他应用程序一样,易受攻击的无服务器应用程序仍然可能被滥用和利用。”“主要区别在于,您不能使用任何传统的应用安全解决方案,例如WAF或RASP,这就是我们创建PureSec的原因。

发表评论

访客

◎欢迎参与讨论,请在这里发表您的看法和观点。