在每周约50种新漏洞被披露、一年约2500种新漏洞被发现的前提下,网管员面临着巨大的工作压力:应该关注哪些漏洞,应该给哪些系统打补丁。美国系统网络安全协会(SANS)日前发布了最值得关注的2004年度核心软件的漏洞清单(Top 20清单),来帮助网管员确定防范重点。
一年一度的Top 20清单是根据全球安全研究机构的建议汇编而成的,提供建议的机构包括美国国家基础设施保护中心和英国国家基础设施安全协调中心等组织。Top 20清单实际上是由两个Top 10清单组成:10个经常被利用的Windows漏洞以及10个经常被利用的Unix/Linux漏洞。SANS希望该清单能够提醒用户:Windows和Unix/Linux的许多安全隐患已经被发现并被恶意利用。
运行在Unix操作系统上的Unix内核和数据库、运行在Windows上的安全子系统和即时消息第一次出现在Top 20清单当中。在Windows清单中排名第7位和第10位的文件共享应用和即时消息中的漏洞代表了一类新型风险。专家们一致对文件共享和对等技术表示了担心。与即时消息一样,文件共享应用简单易用,但安全问题却常常被忽视。在Windows清单上排名第6的Web浏览器是造成众多安全危害的根源,由于IE浏览器存在众多安全问题,一些安全专家曾在今年年初时建议用户采用其他浏览器。Top 20清单的制订者也建议用户选择安全的浏览器。
SANS的研究结果并不支持Windows比Unix/Linux更安全或更不安全的论点。显然,操作系统平台上的安全问题与软件开发过程中的质量控制息息相关。Windows XP拥有4000多万行源代码,程序错误在所难免。Linux也拥有3000多万行源代码,自然存在许多错误,只是Linux代码的公开性意味着安全问题可以更快地得到发现和解决。SANS列出的安全问题有些并不是编程错误,而是功能问题。例如,SANS认为Outlook邮件客户端软件嵌入的自动化特性与内置的安全控件不一致,经常导致邮件病毒、蠕虫、恶意代码危害本地系统的问题,而这些问题很难解决。
SANS认为,用户根本不可能停用这些软件,采取积极的补丁策略是用户保全系统的惟一希望。得到业界支持的“常见漏洞”清单收录了1万种漏洞。这一数字包括3300种已知远程可利用漏洞,其中的200种与SANS确定的20大漏洞有关。SANS研究主管Alan Paller指出,如果不法分子进行搜索的话,将会找到成千上万的可以利用的漏洞。而将一张罗列了上万种漏洞的报告交给网管员时,他们肯定不知应该从何处下手。
SANS 之所以公布Top 20清单,其目的是为用户提供一个对付致命问题的安全基准。SANS利用这份清单敦促企业根据漏洞的危险等级有的放矢地制定补丁管理战略。制订该清单的委员会成员Gerhard Eschelbeck认为,这份清单是各机构在保护关键IT基础设施时必须考虑的最小清单。Top 20清单的作用就是为网管员提供一个每年进行修补工作的起点。利用这张罗列了最危险漏洞的清单,系统管理员只需花几个月时间就可以解决它们,这使得安全漏洞的弥补工作更加合理。
最常见的漏洞 Unix/Linux 描述
BIND DNS 由于BIND无处不在,它已经成为拒绝服务缓冲区溢出和缓存投毒等攻击的目标。
版本控制系统 用于远程访问的Concurrent Versions System中存在漏洞。
开放SSL Open SSL库中存在多种漏洞。
数据库 数据库是极其复杂的应用,常常很难进行正确地配置和保护。
内核 来自内核漏洞的风险包括拒绝服务、利用系统特权执行任意代码、对文件系统无限制的访问以及根访问。
Windows 描述
Web服务器和服务 HTTP服务器的缺省安装以及用于响应HTTP请求的额外部件存在安全隐患。
Web浏览器 Internet Explorer、Mozilla、Firefox、Netscape和Opera存在漏洞。
LSAS暴露 Windows Local Security Authority Subsystem Service包含致命的缓冲区溢出漏洞,如果被利用的话,会导致危及整体系统的风险。
邮件客户程序 如果配置得当,Outlook和Outlook Express可以保护用户免受病毒、蠕虫、恶意代码的攻击。
即时消息 即时消息中存在的远程可利用漏洞成为危及网络安全的严重威胁。
说明:以上是最常见的软件漏洞,这些漏洞没有按特定顺序排列。完整的清单和说明可以访问www.sans.org。
