谷歌員工幫助數千個開源項目修補關鍵的“瘋狂小工具漏洞”

配音玫瑰中心行動，該倡議由大約50名谷歌員工自愿發起，他們利用20%的工作時間在Github上修補了2600多個易受“Mad Gadget漏洞”攻擊的開源項目

瘋狂小工具漏洞（CVE-2015-6420）是Apache Commons Collections（ACC）庫使用的Java反序列化中的一個遠程代碼執行錯誤，它可能允許未經驗證的遠程攻擊者在系統上執行任意代碼。

 ACC庫被許多Java應用程序廣泛部署，用于解碼計算機之間傳遞的數據。要利用此漏洞，未經授權的攻擊者只需向使用ACC庫的目標系統上的應用程序提交惡意創建的輸入。

一旦受影響系統上易受攻擊的ACC庫反序列化內容，攻擊者就可以在受損系統上遠程執行任意代碼，然后利用這些代碼進行進一步的攻擊。

還記得對市政地鐵系統的勒索軟件攻擊嗎？去年晚些時候，一名匿名黑客成功感染并接管了2000多臺計算機，這些計算機使用了舊金山公共交通系統運行軟件中相同的瘋狂小工具缺陷。

在Mad Gadget漏洞被公開披露后，幾乎所有商業企業，包括Oracle、Cisco、Red Hat、VMWare、IBM、Intel、Adobe、HP、Jenkins和SolarWinds，都正式披露他們受到了該漏洞的影響，并在其軟件中對其進行了修補。

 然而，在所有大企業修補該漏洞幾個月后，谷歌的一名員工注意到，幾個著名的開源庫仍然依賴于易受攻擊的ACC庫版本。

Justine Tunney說：“我們認識到行業最佳實踐已經失敗。需要采取行動來確保開源社區的安全。因此，我們不是簡單地發布安全建議，要求每個人解決該漏洞，而是成立了一個工作組來更新他們的代碼。這一行動被稱為Rosehub行動”，TensorFlow上的軟件工程師，在谷歌開源博客上寫道。

在Rosehub操作下，補丁被發送到許多開源項目，盡管谷歌員工只能在GitHub上修補直接引用ACC庫易受攻擊版本的開源項目。

根據開源博客，如果舊金山市交通局的軟件系統是開源的，谷歌工程師也將能夠為他們提供瘋狂小工具的補丁，并且他們的系統永遠不會受到損害。