分享
 
 
 

走出陷阱---Top20清单帮你确定安全基准点

王朝other·作者佚名  2008-05-19
窄屏简体版  字體: |||超大  

在每周约50种新漏洞被披露、一年约2500种新漏洞被发现的前提下,网管员面临着巨大的工作压力:应该关注哪些漏洞,应该给哪些系统打补丁。美国系统网络安全协会(SANS)日前发布了最值得关注的2004年度核心软件的漏洞清单(Top 20清单),来帮助网管员确定防范重点。

一年一度的Top 20清单是根据全球安全研究机构的建议汇编而成的,提供建议的机构包括美国国家基础设施保护中心和英国国家基础设施安全协调中心等组织。Top 20清单实际上是由两个Top 10清单组成:10个经常被利用的Windows漏洞以及10个经常被利用的Unix/Linux漏洞。SANS希望该清单能够提醒用户:Windows和Unix/Linux的许多安全隐患已经被发现并被恶意利用。

运行在Unix操作系统上的Unix内核和数据库、运行在Windows上的安全子系统和即时消息第一次出现在Top 20清单当中。在Windows清单中排名第7位和第10位的文件共享应用和即时消息中的漏洞代表了一类新型风险。专家们一致对文件共享和对等技术表示了担心。与即时消息一样,文件共享应用简单易用,但安全问题却常常被忽视。在Windows清单上排名第6的Web浏览器是造成众多安全危害的根源,由于IE浏览器存在众多安全问题,一些安全专家曾在今年年初时建议用户采用其他浏览器。Top 20清单的制订者也建议用户选择安全的浏览器。

SANS的研究结果并不支持Windows比Unix/Linux更安全或更不安全的论点。显然,操作系统平台上的安全问题与软件开发过程中的质量控制息息相关。Windows XP拥有4000多万行源代码,程序错误在所难免。Linux也拥有3000多万行源代码,自然存在许多错误,只是Linux代码的公开性意味着安全问题可以更快地得到发现和解决。SANS列出的安全问题有些并不是编程错误,而是功能问题。例如,SANS认为Outlook邮件客户端软件嵌入的自动化特性与内置的安全控件不一致,经常导致邮件病毒、蠕虫、恶意代码危害本地系统的问题,而这些问题很难解决。

SANS认为,用户根本不可能停用这些软件,采取积极的补丁策略是用户保全系统的惟一希望。得到业界支持的“常见漏洞”清单收录了1万种漏洞。这一数字包括3300种已知远程可利用漏洞,其中的200种与SANS确定的20大漏洞有关。SANS研究主管Alan Paller指出,如果不法分子进行搜索的话,将会找到成千上万的可以利用的漏洞。而将一张罗列了上万种漏洞的报告交给网管员时,他们肯定不知应该从何处下手。

SANS 之所以公布Top 20清单,其目的是为用户提供一个对付致命问题的安全基准。SANS利用这份清单敦促企业根据漏洞的危险等级有的放矢地制定补丁管理战略。制订该清单的委员会成员Gerhard Eschelbeck认为,这份清单是各机构在保护关键IT基础设施时必须考虑的最小清单。Top 20清单的作用就是为网管员提供一个每年进行修补工作的起点。利用这张罗列了最危险漏洞的清单,系统管理员只需花几个月时间就可以解决它们,这使得安全漏洞的弥补工作更加合理。

最常见的漏洞 Unix/Linux 描述

BIND DNS 由于BIND无处不在,它已经成为拒绝服务缓冲区溢出和缓存投毒等攻击的目标。

版本控制系统 用于远程访问的Concurrent Versions System中存在漏洞。

开放SSL Open SSL库中存在多种漏洞。

数据库 数据库是极其复杂的应用,常常很难进行正确地配置和保护。

内核 来自内核漏洞的风险包括拒绝服务、利用系统特权执行任意代码、对文件系统无限制的访问以及根访问。

Windows 描述

Web服务器和服务 HTTP服务器的缺省安装以及用于响应HTTP请求的额外部件存在安全隐患。

Web浏览器 Internet Explorer、Mozilla、Firefox、Netscape和Opera存在漏洞。

LSAS暴露 Windows Local Security Authority Subsystem Service包含致命的缓冲区溢出漏洞,如果被利用的话,会导致危及整体系统的风险。

邮件客户程序 如果配置得当,Outlook和Outlook Express可以保护用户免受病毒、蠕虫、恶意代码的攻击。

即时消息 即时消息中存在的远程可利用漏洞成为危及网络安全的严重威胁。

说明:以上是最常见的软件漏洞,这些漏洞没有按特定顺序排列。完整的清单和说明可以访问www.sans.org。

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
2023年上半年GDP全球前十五强
 百态   2023-10-24
美众议院议长启动对拜登的弹劾调查
 百态   2023-09-13
上海、济南、武汉等多地出现不明坠落物
 探索   2023-09-06
印度或要将国名改为“巴拉特”
 百态   2023-09-06
男子为女友送行,买票不登机被捕
 百态   2023-08-20
手机地震预警功能怎么开?
 干货   2023-08-06
女子4年卖2套房花700多万做美容:不但没变美脸,面部还出现变形
 百态   2023-08-04
住户一楼被水淹 还冲来8头猪
 百态   2023-07-31
女子体内爬出大量瓜子状活虫
 百态   2023-07-25
地球连续35年收到神秘规律性信号,网友:不要回答!
 探索   2023-07-21
全球镓价格本周大涨27%
 探索   2023-07-09
钱都流向了那些不缺钱的人,苦都留给了能吃苦的人
 探索   2023-07-02
倩女手游刀客魅者强控制(强混乱强眩晕强睡眠)和对应控制抗性的关系
 百态   2020-08-20
美国5月9日最新疫情:美国确诊人数突破131万
 百态   2020-05-09
荷兰政府宣布将集体辞职
 干货   2020-04-30
倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观:鹏程万里
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案神机营:射石饮羽
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山:拔刀相助
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案天工阁:鬼斧神工
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道:单枪匹马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:与虎谋皮
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:李代桃僵
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:指鹿为马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:小鸟依人
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:千金买邻
 干货   2019-11-12
 
推荐阅读
 
 
 
>>返回首頁<<
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有