Аналитика Отчет по уязвимостям за 2007 год
Информационный портал по безопасности SecurityLab опубликовал статистику по уязвимостям за 2007 год.
Валерий Марчук
www.SecurityLab.ru
Информационный портал по безопасности SecurityLab в 2007 году опубликовал 3109 уязвимостей в различном программном обеспечении, 882 эксплоита, 4825 описаний злонамеренного ПО и 5867 уведомлений безопасности от различных производителей.
Серверные приложения
Всего было опубликовано 747 уязвимостей в серверном программном обеспечении, что составило 23,21% от общего количества опубликованных уязвимостей.
1. Web сервера
|
Название |
Макс. опасность |
Кол-во уязвимостей |
Кол-во исправленных уязвимостей |
|
Apache HTTP Server |
Средняя |
7 |
6 |
|
Lotus Domino Web Server |
Средняя |
2 |
2 |
|
Microsoft IIS |
Средняя |
1 |
1 |
|
Sun One Web Server |
Средняя |
6 |
6 |
|
IBM HTTP Server |
Низкая |
4 |
4 |
|
Другие Web сервера |
Высокая |
28 |
18 |
В различных Web серверах было обнаружено 48 уязвимостей, из них 5 уязвимостей высокой степени опасности, 23 уязвимости средней степени опасности и 20 уязвимостей низкой степени опасности. Не устранено всего 11 уязвимостей: 2 уязвимости высокой степени опасности (MiniWeb HTTP Server и Xitami), позволяющие удаленное выполнение произвольного кода, 8 уязвимостей средней степени опасности, которые могут позволить злоумышленнику получить доступ к потенциально важным данным или вызвать отказ в обслуживании и 1 уязвимость низкой степени опасности (Apache).
2. Почтовые сервера
|
Название |
Макс. опасность |
Кол-во уязвимостей |
Кол-во исправленных уязвимостей |
|
CommuniGate Pro |
Низкая |
1 |
1 |
|
Ipswitch IMail Server |
Высокая |
3 |
2 |
|
Microsoft Exchange |
Критическая |
1 |
1 |
|
Sendmail |
Средняя |
1 |
1 |
|
MDaemon |
Средняя |
1 |
1 |
|
MailEnable |
Средняя |
3 |
2 |
|
Courier |
Высокая |
1 |
1 |
|
Другие |
Критическая |
21 |
14 |
Всего была обнаружено 32 уязвимости в почтовых серверах – 4 уязвимости критической степени опасности, 8 уязвимостей высокой степени опасности, 14 уязвимостей средней степени опасности и 6 уязвимостей низкой степени опасности. Всего не устранено 9 уязвимостей, из которых 1 уязвимость критическая (Mercury Mail Transport System), 1 уязвимость высокой степени опасности, 6 уязвимости средней степени опасности и 1 уязвимость низкой степени опасности.
3. Сервера баз данных
|
Название |
Макс. опасность |
Кол-во уязвимостей |
Кол-во исправленных уязвимостей |
|
IBM DB2 |
Средняя |
7 |
7 |
|
Informix |
Низкая |
1 |
1 |
|
InterBase/Firebird |
Средняя |
5 |
4 |
|
Microsoft SQL Server |
- |
0 |
0 |
|
MySQL |
Низкая |
6 |
6 |
|
Oracle |
Критическая |
6 |
5 |
|
PostgreSQL |
Низкая |
2 |
2 |
|
Другие |
Средняя |
6 |
5 |
Всего опубликовано 33 уязвимости – 1 уязвимость критической степени опасности (Oracle), 2 уязвимости высокой степени опасности (Oracle), 14 уязвимостей средней степени и 16 уязвимостей низкой степени опасности. Всего не устранено 3 уязвимости средней степени опасности (Borland InterBase, Oracle и FrontBase Relational Database Server).
4. Другое серверное ПО
|
Название |
Макс. опасность |
Кол-во уязвимостей |
Кол-во исправленных уязвимостей |
|
DNS сервера |
Критическая |
12 |
11 |
|
FTP сервера |
Высокая |
19 |
10 |
|
IDS системы |
Критическая |
11 |
11 |
|
VPN |
Средняя |
3 |
2 |
|
Аппаратные устройства |
Высокая |
63 |
40 |
|
Игровые сервера |
Высокая |
23 |
4 |
|
Межсетевые экраны |
Высокая |
10 |
10 |
|
Прокси сервера |
Высокая |
14 |
13 |
|
Системы контроля и мониторинга |
Высокая |
36 |
33 |
|
Системы удаленного управления |
Средняя |
9 |
9 |
|
Системы управления доступом |
Критическая |
7 |
6 |
|
Виртуализационное ПО |
Средняя |
5 |
5 |
|
Сервера приложений |
Высокая |
34 |
27 |
|
Другие серверные приложения |
Критическая |
388 |
321 |
Всего обнаружено 634 уязвимости, из которых не устранено 132 уязвимости: 25 уязвимостей высокой степени опасности, которые позволяют злоумышленнику скомпрометировать целевую систему, 31 уязвимость средней степени опасности и 76 уязвимостей низкой степени опасности.
Клиентские приложения
В клиентских приложениях было обнаружено 816 уязвимостей, что составил 25.47% от общего количества уязвимостей.
1. Браузеры
|
Название |
Макс. опасность |
Кол-во уязвимостей |
Кол-во исправленных уязвимостей |
|
Konqueror |
Средняя |
6 |
5 |
|
Microsoft Internet Explorer |
Критическая |
19 |
12 |
|
Mozilla Firefox |
Критическая |
20 |
16 |
|
Netscape |
Высокая |
3 |
3 |
|
Opera |
Критическая |
10 |
9 |
|
Другие |
Критическая |
5 |
4 |
Всего обнаружено 63 уязвимости в браузерах, из которых 14 уязвимостей не было устранено: 1 уязвимость в браузере Konqueror, 7 уязвимостей в Microsoft Internet Explorer, 4 уязвимости в Mozilla Firefox, 1 одна уязвимость в Opera и 1 в Apple Safari. Все не устраненные уязвимости низкой степени опасности.
2. Другое клиентское ПО
|
Название |
Макс. опасность |
Кол-во уязвимостей |
Кол-во исправленных уязвимостей |
|
FTP клиенты |
Высокая |
7 |
3 |
|
Instant Messenger и IRC клиенты |
Высокая |
36 |
13 |
|
Архиваторы |
Высокая |
21 |
12 |
|
Игры |
Высокая |
16 |
8 |
|
Мультимедийные приложения |
Критическая |
89 |
45 |
|
Офисные приложения |
Критическая |
60 |
42 |
|
Персональные межсетевые экраны |
Высокая |
8 |
6 |
|
Почтовые клиенты |
Критическая |
21 |
18 |
|
Средства разработки |
Высокая |
48 |
33 |
|
Виртуализационное ПО |
Средняя |
3 |
2 |
|
ActiveX компоненты |
Критическая |
162 |
61 |
|
Антивирусы |
Критическая |
60 |
58 |
|
Другие клиентские приложения |
Критическая |
222 |
151 |
Всего было обнаружено 753 уязвимости, из которых устранено только 452 уязвимости.
Web приложения
Всего SecurityLab опубликовал 1303 уязвимости в Web приложениях.
| Название |
Макс. опасность |
Кол-во уязвимостей |
Кол-во исправленных уязвимостей |
|
Интернет магазины |
Высокая |
49 |
10 |
|
Системы управления содержанием (CMS) |
Высокая |
244 |
80 |
|
Форумы, чаты, блоги, галереи |
Высокая |
173 |
38 |
|
Другие Web приложения |
Высокая |
799 |
248 |
|
Frameworks |
Высокая |
5 |
4 |
|
Языки сценариев (PHP, ASP) |
Средняя |
33 |
24 |
В 2007 году в PHP было опубликовано 20 уязвимостей низкой и средней степени опасности, из которых 5 уязвимостей низкой степени опасности не было устранено.
Уязвимости в ядрах ОС
| ОС |
Макс. опасность |
Кол-во уязвимостей |
Кол-во исправленных уязвимостей |
|
FreeBSD |
Средняя |
4 |
3 |
|
Cisco |
Критическая |
49 |
43 |
|
Linux kernel |
Средняя |
35 |
35 |
|
Linux Debian |
Низкая |
1 |
1 |
|
Linux Fedora |
Низкая |
4 |
4 |
|
Gentoo Linux |
Высокая |
7 |
7 |
|
Linux Red Hat |
Низкая |
6 |
6 |
|
SuSE Linux |
Низкая |
1 |
1 |
|
Linux rPath |
Низкая |
2 |
2 |
|
Ubuntu Linux |
Низкая |
1 |
1 |
|
Mac OS X* |
Критическая |
29 |
18 |
|
Microsoft Windows Vista |
Критическая |
18 |
16 |
|
Microsoft Windows 2003 |
Критическая |
33 |
30 |
|
Microsoft Windows XP |
Критическая |
35 |
29 |
|
Microsoft Windows 2000 |
Критическая |
28 |
26 |
|
Novell NetWare |
Низкая |
1 |
1 |
|
OpenVMS |
Средняя |
3 |
3 |
|
HP-UX |
Критическая |
12 |
10 |
|
IBM IAX |
Средняя |
14 |
13 |
|
OpenBSD |
Критическая |
6 |
5 |
|
Sun Solaris |
Высокая |
58 |
56 |
|
HP Tru64 Unix |
Низкая |
5 |
5 |
|
Juniper Networks (JUNOS) |
Средняя |
1 |
1 |
* Примечание: мы считаем количество уведомлений безопасности, опубликованы на SecurityLab и не учитываем количество уязвимостей, описанных в одном уведомлении.
Всего не устранено 37 уязвимостей, из них 1 уязвимость высокой степени опасности и 1 средней в Sun Solaris, 6 уязвимостей низкой степени опасности в Cisco IOS, 1 уязвимость низкой степени опасности в FreeBSD, 1 уязвимость низкой степени опасности в Linux Fedora, 1 уязвимость высокой степени опасности, 1 средней и 8 уязвимостей низкой степени в Mac OS X, 2 уязвимости низкой степени опасности в Windows Vista, 3 уязвимости низкой степени опасности в Windows Server 2003, 1 уязвимость средней и 5 уязвимостей низкой степени опасности в Windows XP и 2 уязвимости низкой степени опасности в Windows 2000, 1 уязвимость критической и 1 средней степени опасности в HP-UX, 1 уязвимость низкой опасности в IBM AIX, и 1 одна уязвимость низкой опасности в OpenBSD.
Уведомления безопасности от производителей
Всего было опубликовано 5867 уведомления безопасности. Хотелось бы отметить следующих производителей:
| Производитель | Кол-во уведомлений |
|
4268 | |
|
368 | |
|
306 | |
|
222 | |
|
204 | |
|
132 | |
|
69 | |
|
64 | |
|
45 | |
|
42 | |
|
24 | |
|
23 | |
|
15 |
Заключение
В 2007 году большой интерес был проявлен к уязвимостям в клиентских и Web приложениях. Хорошим примером проявления такого интереса является большое количество обнаруженных уязвимостей в ActiveX компонентах и массовые компрометации Web приложений. Также замечен повышенный интерес хакеров к виртуализационному программному обеспечению.
(Голосов: 22, Рейтинг: 4.13) |
Ща сонм линуксоидов взвоет вендекапетс
Сам всю жись сидел на винде, но после знакомства с вистой умываю руки
Exploit, HackTool — взломщики удаленных компьютеров
стоит ли верить ресурсу с такой натписью )
+ всегда выигрывает МикросовТь, а про оперу ваще смешно )))
| Валерий Марчук |
интересует раздел "Уязвимости в ядрах ОС"
чем ядро RH отличается от ядра Gentoo и Linux ANY?
что вообще автор подразумевает под словом ядро?
теперь по поводу самого обзора:
какой смысл писать эту галиматью, если
| Примечание: мы считаем количество уведомлений безопасности, опубликованы на SecurityLab и не учитываем количество уязвимостей, описанных в одном уведомлении. |
че трудно было сделать нормальный аналитический обзор вместо того, что бы считать строчки результатов поиска?
это вообще для кого сделано? представьте себе профессиональный уровень человека, который будет внимать этому фаршу.
| интересует раздел "Уязвимости в ядрах ОС"
чем ядро RH отличается от ядра Gentoo и Linux ANY? что вообще автор подразумевает под словом ядро? |
Возможно слово «ядро» не совсем корректно подходит для обобщения уязвимостей в различных ОС. Под фразой «уязвимости в ядрах ОС» понимается принадлежность уязвимостей к различным ОС (os-specific). Linux ANY – ядро Linux, т.е. все уязвимости, которые действительно относятся к ядру Linux. RH, Gentoo, Debian и др. – здесь считает количество уязвимостей, которые относятся непосредственно к этому дистрибутиву. Например: уязвимость (. Эта уязвимость не относится ни к Apache ни к другим дистрибутивам Linux и ей подвержен только Debian Linux.
| че трудно было сделать нормальный аналитический обзор вместо того, что бы считать строчки результатов поиска? |
В любом случае нужно считать
Если в Oracle в последнем уведомлении было устранено 27 уязвимостей (согласно вендору). Данные в паблике есть лишь о 2 уязвимостях. Как их считать? Как 1, 2 или 27?. Я бы посчитал как 1. Почему? Потому что по существу без разницы, было устранено 1 критическую уязвимость или 20, т.к. о них стало известно лишь в день заплатки и все уязвимости можно устранить патчем.
При написании отчета не ставилась задача посчитать у какого вендора больше всего уязвимостей (такой подсчет вообще не корректно делать). Внимание стоит уделить не кол-ву найденных уязвимостей а кол-ву неисправленных.
| Возможно слово «ядро» не совсем корректно подходит для обобщения уязвимостей в различных ОС. |
так давайте использовать для ядра понятие ядро, а для дистрибутива - понятие дистрибутива
| Как их считать? Как 1, 2 или 27?. Я бы посчитал как 1. Почему? Потому что по существу без разницы, было устранено 1 критическую уязвимость или 20, т.к. о них стало известно лишь в день заплатки и все уязвимости можно устранить патчем.
... Внимание стоит уделить не кол-ву найденных уязвимостей а кол-ву неисправленных. |
это говорит о том, что неверна точка зрения на проблему
то, что без разницы сколько уязвимостей было устранено, я согласен
здесь важен другой факт: время между обнаружением уязвимости и выпуском заплатки. вот на что нужно обращать внимание
одна критическая дырка на 2 недели это хуже чем сотня таких-же, объявленных в патче.
по большому счету сюда же нужно отнести и такой фактор, как временное решение проблемы. но это отдельная флеймообразующая тема для дискуссии и она индивидуальна для каждого конкретного случая.
З.Ы.
| Уведомления безопасности от производителей |
имхо есть смысл визуально разделить производителя ПО и железного вендора, выпускающего осевые костыли к своему железу
| это говорит о том, что неверна точка зрения на проблему |
Сколько людей, столько мнений - данный отчет отражает только то, что отражает, методика проста и изложена в документе. Так что в "передергиваниях" его обвинить трудно.
| так давайте использовать для ядра понятие ядро, а для дистрибутива - понятие дистрибутива |
Так и сделано. Есть Linux Kernel, а есть - базовые компоненты дистрибутивов RedHat и так далее.
| здесь важен другой факт: время между обнаружением уязвимости и выпуском заплатки. |
Очень трудно сделать в этом случае "беспристрастный" отчет к которому тяжело было бы "придраться". Мысль зравая, посмотрим что можно сделать в этом отношении.
|
по большому счету сюда же нужно отнести и такой фактор, как временное решение проблемы. но это отдельная флеймообразующая тема для дискуссии и она индивидуальна для каждого конкретного случая. |
Просто нереально, поскольку пытаться рыскать по workaround для более чем 6000 уязвимостей (кол-во CVE в 2007 году) и проверять их корректность и применимость.
| Сколько людей, столько мнений - данный отчет отражает только то, что отражает, методика проста и изложена в документе. |
ну у меня первая мысль была - просто лень
ради галки или цитируемости надо было засветиться и по-быстрому был сляпан отчет (не в обиду будет сказано)
| Очень трудно сделать в этом случае "беспристрастный" отчет к которому тяжело было бы "придраться". |
к любому отчету можно придраться - согласен
но чем детализированней отчет, чем логичнее ракурс видения ситуации, тем сложнее предъявить претензию
| но чем детализированней отчет |
Позволю не согласится. Если вводятся сложные (производные и сложно измеримые) метрики сразу возникает куча впросов, типа - а как вы читали количество дней, в бизнес днях или календарных? При объединении двух выборок проверяли на хи-квадрат или двухвыборочный критерий Смирнова и тд
Сейчас формирую статистику по Web-уязвимостям за 2007 год (типа ) - куча скользких моментов. С одной стороны хочется получить позезный для читателя отчет - с другой - не измерять среднюю температуру сферического коня по больнице.
| с другой - не измерять среднюю температуру сферического коня по больнице |
а это и не требуется
отчет делается для получения каких-то выводов - читать: получения ответов на вопрос
остается задать вопрос:
Какие веб-сервисы (или веб-приложения?) имели в 2007-м году имели больше всего незалатаных дырко-дней? (в т.ч. и по категориям уязвимостей)
В каких веб-сервисах (или веб-приложениях?) найдено больше всего уязвимостей? (в т.ч. и по категориям уязвимостей)
Какие веб-сервисы имели больше всего одновременно незаделанных дырок?
ну и т.д.
а просто создавать таблицы с разными названиями по колонкам/строкам - ну не знаю даже...
в прошлом году тут была таблица - сколько веб-сервисов поломали под виндой и под линуксом...
ну эт ваще баян. да какая разница какая базовая система использовалась.
это как если бы сделать таблицу взломов, например, винды от типа биосного вендора или марки системного блока.
Очень плохо, когда | отчет делается для получения каких-то выводов |
Отчет делается для предоставления информации, на основании которой читатель имеет свободу делать или не делать выводы. Когда
| отчет делается для получения каких-то выводов |
| Отчет делается для предоставления информации, на основании которой читатель имеет свободу делать или не делать выводы. |
имхо это невозможно
я ведь могу сделать зависимость заражений компов от цены барелля нефти
и какие выводы можно сделать на основании этой зависимости?
вот живой пример - раздел "Web приложения"
какие выводы можно из него сделать? что интернет-магазины более дырявы чем языки сценариев на которых они написаны?
а вот диаграмма типов уязвимостей была бы там очень кстати (вместо той таблицы, что там есть)
ибо большинство веб-приложений отличаются только логикой юзерского интерфейса, а могут быть построены на одном и том же движке
ой не буду дальше - остапа понесло...
а по поводу
| Windows менее безопасно, потому что... |
я вообще против сравнения различных продуктов. именно поэтому я приводил этот пример. кроме холивара он больше ничего не вызовет.
| Linux ANY – ядро Linux, т.е. все уязвимости, которые действительно относятся к ядру Linux. |
это всё конечно хорошо, если бы не одно но:
сейчас есть как минимум 6 веток ядра linux:
1)2.6.16.x (поддерживает Adrian Bunk)
2)2.6.18.x (rhel, debian, etc)
3)2.6.20.x (поддерживает Greg Kroah-Hartman)
4)2.6.22.x (поддерживает Greg Kroah-Hartman)
5)2.6.23.x (поддерживает Greg Kroah-Hartman)
6)2.6.24 (Linus)
Теперь вопросы:
1)Дыра, затрагивающая все эти 6 веток - это 1 уязвимость или 6?
2)Дыра, затрагивающая одну из 6 веток - это 1 уязвимость в Linux ANY?
| Например: уязвимость (. Эта уязвимость не относится ни к Apache ни к другим дистрибутивам Linux и ей подвержен только Debian Linux. |
вообще-то, ubuntu тоже это касается.
| Если в Oracle в последнем уведомлении было устранено 27 уязвимостей (согласно вендору). Данные в паблике есть лишь о 2 уязвимостях. Как их считать? Как 1, 2 или 27?. |
как 27. Если посмотреть на новости, касающиеся уязвимостей в linux, то значительное число их взято из changelog'ов.
| Я бы посчитал как 1. Почему? Потому что по существу без разницы, было устранено 1 критическую уязвимость или 20, т.к. о них стало известно лишь в день заплатки и все уязвимости можно устранить патчем. |
Вендор, который не закрывает дыры а просто выпускает новый релиз и публикует SA о дырах в пред. версии в таком варианте будет выглядеть идеально.
У redhat, debian, ubuntu, freebsd, Sun 1 дыра = 1 патч. Вендор, который раз в месяц закрывает одним патчем 16 дыр в такой статистике смотрится лучше чем оперативно выпускающий обновления.
| При написании отчета не ставилась задача посчитать у какого вендора больше всего уязвимостей |
а какая же цель? отчёт получился неинформативным, потому как вырисовывается вот какая картина защищённой инфраструктуры:
Корпоративный портал на IIS с почтовой системой Communigate Pro и телефоний не ней же. Плюс MSSQL.
Но без ftp/dns-серверов, ids и МСЭ. Всё это хозяйство никак не мониторится(критические уязвимости, однако) и доступ к ним никак не контролируется(никаких СКУД).
Все клиентсткие машины исключительно на Debian/Ubuntu и обязательно с KDE(там секурный Konqueror). Никакого офисного ПО и почтовых клиентов.
PS: я уж молчу о том что выборка имеет систематическую погрешность
PPS:забавно, больше всего критических дыр у проприетарщиков.
PPPS: и всё равно спасибо за отчёт.
TOP Новости 
Уязвимости 07 февраля, 2012
06 февраля, 2012
03 февраля, 2012
01 февраля, 2012
Подписка
Вирусы
Комментарии: