28.01.2008

Отчет по уязвимостям за 2007 год

image

Информационный портал по безопасности SecurityLab опубликовал статистику по уязвимостям за 2007 год.

Валерий Марчук
www.SecurityLab.ru

 

Информационный портал по безопасности SecurityLab в 2007 году опубликовал 3109 уязвимостей в различном программном обеспечении, 882 эксплоита, 4825 описаний злонамеренного ПО и 5867 уведомлений безопасности от различных производителей.


Серверные приложения

Всего было опубликовано 747 уязвимостей в серверном программном обеспечении, что составило 23,21% от общего количества опубликованных уязвимостей.

1. Web сервера

Название

Макс. опасность

Кол-во уязвимостей

Кол-во исправленных уязвимостей

Apache HTTP Server

Средняя

7

6

Lotus Domino Web Server

Средняя

2

2

Microsoft IIS

Средняя

1

1

Sun One Web Server

Средняя

6

6

IBM HTTP Server

Низкая

4

4

Другие Web сервера

Высокая

28

18

В различных Web серверах было обнаружено 48 уязвимостей, из них 5 уязвимостей высокой степени опасности, 23 уязвимости средней степени опасности и 20 уязвимостей низкой степени опасности. Не устранено всего 11 уязвимостей: 2 уязвимости высокой степени опасности (MiniWeb HTTP Server и Xitami), позволяющие удаленное выполнение произвольного кода, 8 уязвимостей средней степени опасности, которые могут позволить злоумышленнику получить доступ к потенциально важным данным или вызвать отказ в обслуживании и 1 уязвимость низкой степени опасности (Apache).

2. Почтовые сервера

Название

Макс. опасность

Кол-во уязвимостей

Кол-во исправленных уязвимостей

CommuniGate Pro

Низкая

1

1

Ipswitch IMail Server

Высокая

3

2

Microsoft Exchange

Критическая

1

1

Sendmail

Средняя

1

1

MDaemon

Средняя

1

1

MailEnable

Средняя

3

2

Courier

Высокая

1

1

Другие

Критическая

21

14

Всего была обнаружено 32 уязвимости в почтовых серверах – 4 уязвимости критической степени опасности, 8 уязвимостей высокой степени опасности, 14 уязвимостей средней степени опасности и 6 уязвимостей низкой степени опасности. Всего не устранено 9 уязвимостей, из которых 1 уязвимость критическая (Mercury Mail Transport System), 1 уязвимость высокой степени опасности, 6 уязвимости средней степени опасности и 1 уязвимость низкой степени опасности.

3. Сервера баз данных

Название

Макс. опасность

Кол-во уязвимостей

Кол-во исправленных уязвимостей

IBM DB2

Средняя

7

7

Informix

Низкая

1

1

InterBase/Firebird

Средняя

5

4

Microsoft SQL Server

-

0

0

MySQL

Низкая

6

6

Oracle

Критическая

6

5

PostgreSQL

Низкая

2

2

Другие

Средняя

6

5

Всего опубликовано 33 уязвимости – 1 уязвимость критической степени опасности (Oracle), 2 уязвимости высокой степени опасности (Oracle), 14 уязвимостей средней степени и 16 уязвимостей низкой степени опасности. Всего не устранено 3 уязвимости средней степени опасности (Borland InterBase, Oracle и FrontBase Relational Database Server).

4. Другое серверное ПО

Название

Макс. опасность

Кол-во уязвимостей

Кол-во исправленных уязвимостей

DNS сервера

Критическая

12

11

FTP сервера

Высокая

19

10

IDS системы

Критическая

11

11

VPN

Средняя

3

2

Аппаратные устройства

Высокая

63

40

Игровые сервера

Высокая

23

4

Межсетевые экраны

Высокая

10

10

Прокси сервера

Высокая

14

13

Системы контроля и мониторинга

Высокая

36

33

Системы удаленного управления

Средняя

9

9

Системы управления доступом

Критическая

7

6

Виртуализационное ПО

Средняя

5

5

Сервера приложений

Высокая

34

27

Другие серверные приложения

Критическая

388

321

Всего обнаружено 634 уязвимости, из которых не устранено 132 уязвимости: 25 уязвимостей высокой степени опасности, которые позволяют злоумышленнику скомпрометировать целевую систему, 31 уязвимость средней степени опасности и 76 уязвимостей низкой степени опасности.

Клиентские приложения

В клиентских приложениях было обнаружено 816 уязвимостей, что составил 25.47% от общего количества уязвимостей.

1. Браузеры

Название

Макс. опасность

Кол-во уязвимостей

Кол-во исправленных уязвимостей

Konqueror

Средняя

6

5

Microsoft Internet Explorer

Критическая

19

12

Mozilla Firefox

Критическая

20

16

Netscape

Высокая

3

3

Opera

Критическая

10

9

Другие

Критическая

5

4

Всего обнаружено 63 уязвимости в браузерах, из которых 14 уязвимостей не было устранено: 1 уязвимость в браузере Konqueror, 7 уязвимостей в Microsoft Internet Explorer, 4 уязвимости в Mozilla Firefox, 1 одна уязвимость в Opera и 1 в Apple Safari. Все не устраненные уязвимости низкой степени опасности.

2. Другое клиентское ПО

Название

Макс. опасность

Кол-во уязвимостей

Кол-во исправленных уязвимостей

FTP клиенты

Высокая

7

3

Instant Messenger и IRC клиенты

Высокая

36

13

Архиваторы

Высокая

21

12

Игры

Высокая

16

8

Мультимедийные приложения

Критическая

89

45

Офисные приложения

Критическая

60

42

Персональные межсетевые экраны

Высокая

8

6

Почтовые клиенты

Критическая

21

18

Средства разработки

Высокая

48

33

Виртуализационное ПО

Средняя

3

2

ActiveX компоненты

Критическая

162

61

Антивирусы

Критическая

60

58

Другие клиентские приложения

Критическая

222

151

Всего было обнаружено 753 уязвимости, из которых устранено только 452 уязвимости.

Web приложения

Всего SecurityLab опубликовал 1303 уязвимости в Web приложениях.

Название

Макс. опасность

Кол-во уязвимостей

Кол-во исправленных уязвимостей

Интернет магазины

Высокая

49

10

Системы управления содержанием (CMS)

Высокая

244

80

Форумы, чаты, блоги, галереи

Высокая

173

38

Другие Web приложения

Высокая

799

248

Frameworks

Высокая

5

4

Языки сценариев (PHP, ASP)

Средняя

33

24

В 2007 году в PHP было опубликовано 20 уязвимостей низкой и средней степени опасности, из которых 5 уязвимостей низкой степени опасности не было устранено.

Уязвимости в ядрах ОС

 

ОС

Макс. опасность

Кол-во уязвимостей

Кол-во исправленных уязвимостей

FreeBSD

Средняя

4

3

Cisco

Критическая

49

43

Linux kernel

Средняя

35

35

Linux Debian

Низкая

1

1

Linux Fedora

Низкая

4

4

Gentoo Linux

Высокая

7

7

Linux Red Hat

Низкая

6

6

SuSE Linux

Низкая

1

1

Linux rPath

Низкая

2

2

Ubuntu Linux

Низкая

1

1

Mac OS X*

Критическая

29

18

Microsoft Windows Vista

Критическая

18

16

Microsoft Windows 2003

Критическая

33

30

Microsoft Windows XP

Критическая

35

29

Microsoft Windows 2000

Критическая

28

26

Novell NetWare

Низкая

1

1

OpenVMS

Средняя

3

3

HP-UX

Критическая

12

10

IBM IAX

Средняя

14

13

OpenBSD

Критическая

6

5

Sun Solaris

Высокая

58

56

HP Tru64 Unix

Низкая

5

5

Juniper Networks (JUNOS)

Средняя

1

1

* Примечание: мы считаем количество уведомлений безопасности, опубликованы на SecurityLab и не учитываем количество уязвимостей, описанных в одном уведомлении.

Всего не устранено 37 уязвимостей, из них 1 уязвимость высокой степени опасности и 1 средней в Sun Solaris, 6 уязвимостей низкой степени опасности в Cisco IOS, 1 уязвимость низкой степени опасности в FreeBSD, 1 уязвимость низкой степени опасности в Linux Fedora, 1 уязвимость высокой степени опасности, 1 средней и 8 уязвимостей низкой степени в Mac OS X, 2 уязвимости низкой степени опасности в Windows Vista, 3 уязвимости низкой степени опасности в Windows Server 2003, 1 уязвимость средней и 5 уязвимостей низкой степени опасности в Windows XP и 2 уязвимости низкой степени опасности в Windows 2000, 1 уязвимость критической и 1 средней степени опасности в HP-UX, 1 уязвимость низкой опасности в IBM AIX, и 1 одна уязвимость низкой опасности в OpenBSD.

Уведомления безопасности от производителей

Всего было опубликовано 5867 уведомления безопасности. Хотелось бы отметить следующих производителей:

Производитель Кол-во уведомлений

Fedora

4268

Mandriva

368

Red Hat

306

Debian

222

Gentoo Linux

204

Sun Microsystems

132

Microsoft

69

Slackware

64

Cisco

45

Hewlett Packard

42

OpenPKG

24

Symantec

23

FreeBSD

15

Заключение
В 2007 году большой интерес был проявлен к уязвимостям в клиентских и Web приложениях. Хорошим примером проявления такого интереса является большое количество обнаруженных уязвимостей в ActiveX компонентах и массовые компрометации Web приложений. Также замечен повышенный интерес хакеров к виртуализационному программному обеспечению.

 

или введите имя

CAPTCHA
29-01-2008 05:16:23
Зато в Microsoft SQL Server 0 уязвимостей (смайлег) Ща сонм линуксоидов взвоет вендекапетс Сам всю жись сидел на винде, но после знакомства с вистой умываю руки
0 |
spa
29-01-2008 11:33:03
Хакерские утилиты и прочие вредоносные программы Exploit, HackTool — взломщики удаленных компьютеров стоит ли верить ресурсу с такой натписью ) + всегда выигрывает МикросовТь, а про оперу ваще смешно )))
0 |
ну раз уж автор отметился, вопрос к Валерий Марчукинтересует раздел "Уязвимости в ядрах ОС" чем ядро RH отличается от ядра Gentoo и Linux ANY? что вообще автор подразумевает под словом ядро? теперь по поводу самого обзора: какой смысл писать эту галиматью, если Примечание: мы считаем количество уведомлений безопасности, опубликованы на SecurityLab и не учитываем количество уязвимостей, описанных в одном уведомлении.че трудно было сделать нормальный аналитический обзор вместо того, что бы считать строчки результатов поиска? это вообще для кого сделано? представьте себе профессиональный уровень человека, который будет внимать этому фаршу.
0 |
29-01-2008 13:30:09
интересует раздел "Уязвимости в ядрах ОС" чем ядро RH отличается от ядра Gentoo и Linux ANY? что вообще автор подразумевает под словом ядро? Возможно слово «ядро» не совсем корректно подходит для обобщения уязвимостей в различных ОС. Под фразой «уязвимости в ядрах ОС» понимается принадлежность уязвимостей к различным ОС (os-specific). Linux ANY – ядро Linux, т.е. все уязвимости, которые действительно относятся к ядру Linux. RH, Gentoo, Debian и др. – здесь считает количество уязвимостей, которые относятся непосредственно к этому дистрибутиву. Например: уязвимость (http://www.securitylab.ru/vulnerability/291940.php). Эта уязвимость не относится ни к Apache ни к другим дистрибутивам Linux и ей подвержен только Debian Linux. че трудно было сделать нормальный аналитический обзор вместо того, что бы считать строчки результатов поиска? В любом случае нужно считать Если в Oracle в последнем уведомлении было устранено 27 уязвимостей (согласно вендору). Данные в паблике есть лишь о 2 уязвимостях. Как их считать? Как 1, 2 или 27?. Я бы посчитал как 1. Почему? Потому что по существу без разницы, было устранено 1 критическую уязвимость или 20, т.к. о них стало известно лишь в день заплатки и все уязвимости можно устранить патчем. При написании отчета не ставилась задача посчитать у какого вендора больше всего уязвимостей (такой подсчет вообще не корректно делать). Внимание стоит уделить не кол-ву найденных уязвимостей а кол-ву неисправленных.
0 |
Возможно слово «ядро» не совсем корректно подходит для обобщения уязвимостей в различных ОС.так давайте использовать для ядра понятие ядро, а для дистрибутива - понятие дистрибутива Как их считать? Как 1, 2 или 27?. Я бы посчитал как 1. Почему? Потому что по существу без разницы, было устранено 1 критическую уязвимость или 20, т.к. о них стало известно лишь в день заплатки и все уязвимости можно устранить патчем. ... Внимание стоит уделить не кол-ву найденных уязвимостей а кол-ву неисправленных.это говорит о том, что неверна точка зрения на проблему то, что без разницы сколько уязвимостей было устранено, я согласен здесь важен другой факт: время между обнаружением уязвимости и выпуском заплатки. вот на что нужно обращать внимание одна критическая дырка на 2 недели это хуже чем сотня таких-же, объявленных в патче. по большому счету сюда же нужно отнести и такой фактор, как временное решение проблемы. но это отдельная флеймообразующая тема для дискуссии и она индивидуальна для каждого конкретного случая. З.Ы. Уведомления безопасности от производителейимхо есть смысл визуально разделить производителя ПО и железного вендора, выпускающего осевые костыли к своему железу
0 |
29-01-2008 14:50:48
это говорит о том, что неверна точка зрения на проблему Сколько людей, столько мнений - данный отчет отражает только то, что отражает, методика проста и изложена в документе. Так что в "передергиваниях" его обвинить трудно. так давайте использовать для ядра понятие ядро, а для дистрибутива - понятие дистрибутива Так и сделано. Есть Linux Kernel, а есть - базовые компоненты дистрибутивов RedHat и так далее. здесь важен другой факт: время между обнаружением уязвимости и выпуском заплатки. Очень трудно сделать в этом случае "беспристрастный" отчет к которому тяжело было бы "придраться". Мысль зравая, посмотрим что можно сделать в этом отношении. по большому счету сюда же нужно отнести и такой фактор, как временное решение проблемы. но это отдельная флеймообразующая тема для дискуссии и она индивидуальна для каждого конкретного случая. Просто нереально, поскольку пытаться рыскать по workaround для более чем 6000 уязвимостей (кол-во CVE в 2007 году) и проверять их корректность и применимость.
0 |
Сколько людей, столько мнений - данный отчет отражает только то, что отражает, методика проста и изложена в документе.ну у меня первая мысль была - просто лень ради галки или цитируемости надо было засветиться и по-быстрому был сляпан отчет (не в обиду будет сказано) Очень трудно сделать в этом случае "беспристрастный" отчет к которому тяжело было бы "придраться".к любому отчету можно придраться - согласен но чем детализированней отчет, чем логичнее ракурс видения ситуации, тем сложнее предъявить претензию
0 |
29-01-2008 17:02:13
но чем детализированней отчет Позволю не согласится. Если вводятся сложные (производные и сложно измеримые) метрики сразу возникает куча впросов, типа - а как вы читали количество дней, в бизнес днях или календарных? При объединении двух выборок проверяли на хи-квадрат или двухвыборочный критерий Смирнова и тд Сейчас формирую статистику по Web-уязвимостям за 2007 год (типа http://www.ptsecurity.ru/webstat2006.asp) - куча скользких моментов. С одной стороны хочется получить позезный для читателя отчет - с другой - не измерять среднюю температуру сферического коня по больнице.
0 |
с другой - не измерять среднюю температуру сферического коня по больницеа это и не требуется отчет делается для получения каких-то выводов - читать: получения ответов на вопрос остается задать вопрос: Какие веб-сервисы (или веб-приложения?) имели в 2007-м году имели больше всего незалатаных дырко-дней? (в т.ч. и по категориям уязвимостей) В каких веб-сервисах (или веб-приложениях?) найдено больше всего уязвимостей? (в т.ч. и по категориям уязвимостей) Какие веб-сервисы имели больше всего одновременно незаделанных дырок? ну и т.д. а просто создавать таблицы с разными названиями по колонкам/строкам - ну не знаю даже... в прошлом году тут была таблица - сколько веб-сервисов поломали под виндой и под линуксом... ну эт ваще баян. да какая разница какая базовая система использовалась. это как если бы сделать таблицу взломов, например, винды от типа биосного вендора или марки системного блока.
0 |
29-01-2008 19:15:44
Очень плохо, когда отчет делается для получения каких-то выводов. Отчет делается для предоставления информации, на основании которой читатель имеет свободу делать или не делать выводы. Когда отчет делается для получения каких-то выводовмы получаем широко обсуждаемые вещи типа "хет зе фрахт" и тому подобные измышления, типа "Windows менее безопасно, потому что в нее не входит сервер и клиент SSH" (реально встречал в одном из сравнений АРХИТЕКТУРЫ Windows vs Linux).
0 |
Отчет делается для предоставления информации, на основании которой читатель имеет свободу делать или не делать выводы.имхо это невозможно я ведь могу сделать зависимость заражений компов от цены барелля нефти и какие выводы можно сделать на основании этой зависимости? вот живой пример - раздел "Web приложения" какие выводы можно из него сделать? что интернет-магазины более дырявы чем языки сценариев на которых они написаны? а вот диаграмма типов уязвимостей была бы там очень кстати (вместо той таблицы, что там есть) ибо большинство веб-приложений отличаются только логикой юзерского интерфейса, а могут быть построены на одном и том же движке ой не буду дальше - остапа понесло... а по поводу Windows менее безопасно, потому что...я вообще против сравнения различных продуктов. именно поэтому я приводил этот пример. кроме холивара он больше ничего не вызовет.
0 |
01-02-2008 17:26:21
Слушай, малиновые штаны, ну ты и пиз..л. Ты чего к человеку пристал, тебе все ясно написано, хочешь выводы-делай сам. Все нормальные люди уже давно сделали. Бюрократ несчастный.
0 |
о... свежая интеллектуальная струя в нашем обсуждении З.Ы. истина рождается в спорах, а не в драке
0 |
03-02-2008 22:49:34
Linux ANY – ядро Linux, т.е. все уязвимости, которые действительно относятся к ядру Linux. это всё конечно хорошо, если бы не одно но: сейчас есть как минимум 6 веток ядра linux: 1)2.6.16.x (поддерживает Adrian Bunk) 2)2.6.18.x (rhel, debian, etc) 3)2.6.20.x (поддерживает Greg Kroah-Hartman) 4)2.6.22.x (поддерживает Greg Kroah-Hartman) 5)2.6.23.x (поддерживает Greg Kroah-Hartman) 6)2.6.24 (Linus) Теперь вопросы: 1)Дыра, затрагивающая все эти 6 веток - это 1 уязвимость или 6? 2)Дыра, затрагивающая одну из 6 веток - это 1 уязвимость в Linux ANY? Например: уязвимость (http://www.securitylab.ru/vulnerability/291940.php). Эта уязвимость не относится ни к Apache ни к другим дистрибутивам Linux и ей подвержен только Debian Linux. вообще-то, ubuntu тоже это касается. Если в Oracle в последнем уведомлении было устранено 27 уязвимостей (согласно вендору). Данные в паблике есть лишь о 2 уязвимостях. Как их считать? Как 1, 2 или 27?. как 27. Если посмотреть на новости, касающиеся уязвимостей в linux, то значительное число их взято из changelog'ов. Я бы посчитал как 1. Почему? Потому что по существу без разницы, было устранено 1 критическую уязвимость или 20, т.к. о них стало известно лишь в день заплатки и все уязвимости можно устранить патчем. Вендор, который не закрывает дыры а просто выпускает новый релиз и публикует SA о дырах в пред. версии в таком варианте будет выглядеть идеально. У redhat, debian, ubuntu, freebsd, Sun 1 дыра = 1 патч. Вендор, который раз в месяц закрывает одним патчем 16 дыр в такой статистике смотрится лучше чем оперативно выпускающий обновления. При написании отчета не ставилась задача посчитать у какого вендора больше всего уязвимостей а какая же цель? отчёт получился неинформативным, потому как вырисовывается вот какая картина защищённой инфраструктуры: Корпоративный портал на IIS с почтовой системой Communigate Pro и телефоний не ней же. Плюс MSSQL. Но без ftp/dns-серверов, ids и МСЭ. Всё это хозяйство никак не мониторится(критические уязвимости, однако) и доступ к ним никак не контролируется(никаких СКУД). Все клиентсткие машины исключительно на Debian/Ubuntu и обязательно с KDE(там секурный Konqueror). Никакого офисного ПО и почтовых клиентов. PS: я уж молчу о том что выборка имеет систематическую погрешность PPS:забавно, больше всего критических дыр у проприетарщиков. PPPS: и всё равно спасибо за отчёт.
0 |
вообще-то, ubuntu тоже это касаетсяя тоже сперва хотел про это написать, но потому подумал, что автор по большому счету прав -- о клонах в ядерных вопросах можно не упоминать
0 |