Отчет по уязвимостям за первый квартал 2008 года
Информационный портал по безопасности SecurityLab.ru опубликовал квартальный отчет по уязвимостям, эксплоитам, вирусам и уведомлениям.
Валерий Марчук
www.securitylab.ru
Информационный портал по безопасности SecurityLab.ru опубликовал квартальный отчет по уязвимостям, эксплоитам, вирусам и уведомлениям.
В первом квартале 2008 года SecurityLab опубликовал 877 уязвимостей, 248 эксплоитов, 180 описаний различных вирусов и 618 уведомления безопасности от различных производителей.
1. Статистика по уязвимостям
Векторы эксплуатации уязвимостей
Всего в первом квартале 2008 года было опубликовано 688 уязвимостей (78.45%), которые можно эксплуатировать удаленно, 104 уязвимости (11.86%), которые позволяют эксплуатацию в пределах локальной сети и 85 (9.69%) локальные уязвимости.
Степень опасности уязвимостей
Было опубликовано 5 уязвимостей (0.57%) критической степени опасности, 176 уязвимостей (20.07%) высокой степени опасности, 341 уязвимость средней степени опасности (38.88%) и 355 уязвимостей (40.48%) низкой степени опасности
Типы уязвимостей
В тройку самых распространенных типов уязвимостей в первом квартале вошли:
1. Компрометация системы (удаленное выполнение произвольного кода) - 22.01%
2. Межсайтовый скриптинг – 16.57%
3. Неавторизованное изменение данных – 12.24%
Наличие исправлений
Всего исправлено 505 уязвимостей (57.58%), исправления отсутствуют для 350 уязвимостей (39.91%), для 14 уязвимостей производители опубликовали инструкции по устранению и 8 уязвимостей устранены частично.
Статистика по приложениям
Web приложения
Всего в этой категории программного обеспечения было обнаружено 372 уязвимости, 105 из которых не были устранены до момента публикации этого отчета.
| Тип ПО | Кол-во уязвимостей | Макс. рейтинг опасности | |
| Всего | Не устранено | ||
| Системы управления содержанием | 94 | 43 | Высокий |
| Интернет магазины | 17 | 9 | Высокий |
| Форумы, гостевые книги, чаты, галереи, блоги | 62 | 43 | Высокий |
| Frameworks | 6 | 2 | Высокий |
| Другие Web приложения | 190 | 105 | Высокий |
| Языки сценариев | 3 | 0 | Средний |
Среди Web приложений преобладают уязвимости типа межсайтовый скриптинг (XSS, CSRF и т.п.) - 26.76%, неавторизованное изменении данных (в большинстве случаев SQL инъекция) – 24.87% и раскрытие важных данных – 17.15%.
Серверные приложения
Всего было обнаружено 255 уязвимостей (29.2%) в серверном программном обеспечении, из которых 73 уязвимости не были устранены до момента публикации этого отчета.
| Тип ПО | Кол-во уязвимостей | Макс. рейтинг опасности | |
| Всего | Не устранено | ||
| Серверы сетевой инфраструктуры | |||
| DNS-серверы | 3 | 0 | Средний |
| FTP-серверы | 6 | 4 | Средний |
| Почтовые серверы | 13 | 1 | Высокий |
| Службы каталогов | 3 | 0 | Средний |
| Виртуализационное ПО | 8 | 2 | Высокий |
| Другие серверы сетевой инфраструктуры (WINS, tftp и т.д.) | 20 | 8 | Высокий |
| Серверы приложений | |||
| Web-серверы | 13 | 3 | Высокий |
| Базы данных | 14 | 6 | Высокий |
| Серверы приложений | 20 | 1 | Высокий |
| Игровые серверы | 0 | 0 | |
| Средства защиты | |||
| IDS системы | 0 | 0 | |
| VPN-серверы | 1 | 0 | Низкий |
| Межсетевые экраны | 3 | 0 | Средний |
| Приложения идентификации | 0 | 0 | |
| Прокси серверы | 0 | 0 | |
| Системы контроля и мониторинга | 21 | 4 | Высокий |
| Системы удаленного управления | 11 | 6 | Высокий |
| Системы управления доступом | 3 | 0 | Высокий |
| Антивирусы | 6 | 1 | Высокий |
| Другие серверные приложения | |||
| Другие серверные приложения | 72 | 14 | Высокий |
| Аппаратные устройства | |||
| Аппаратные устройства (серверы печати, маршрутизаторы, коммутаторы) | 38 | 23 | Высокий |
В серверном программном обеспечении самыми распространенными типами уязвимостей являются: отказ в обслуживании (29.97%), компрометация системы (21.91%), межсайтовый скриптинг и обход ограничений безопасности (12.09%).
9.84% уязвимостей имеют высокий рейтинг опасности, 44.09% - средний и 46.06% - низкий рейтинг опасности.
55.12% уязвимостей в серверном программном обеспечении эксплуатируются удаленно, для 35.43% уязвимостей возможна эксплуатация из локальной сети и 9.45% эксплуатируются локально.
Клиентские приложения
В клиентском программном обеспечении было обнаружено 193 уязвимости, из которых 64 не были устранены до момента публикации этого отчета.
| Тип ПО | Кол-во уязвимостей | Макс. рейтинг опасности | |
| Всего | Не устранено | ||
| Браузеры | 12 | 3 | Высокий |
| Офисные приложения | 15 | 1 | Критический |
| FTP клиенты | 0 | 0 | |
| Instant Messenger и IRC клиенты | 5 | 2 | Критический |
| Антивирусы | 6 | 0 | Высокий |
| Архиваторы | 4 | 1 | Высокий |
| Игры | 1 | 1 | Средний |
| Мультимедийные приложения | 34 | 11 | Критический |
| Персональные межсетевые экраны | 3 | 0 | Низкий |
| Почтовые клиенты | 7 | 1 | Высокий |
| Виртуализационное ПО | 2 | 0 | Низкий |
| ActiveX компоненты | 40 | 26 | Критический |
| Средства разработки | 25 | 8 | Высокий |
| Аппаратные устройства (IP-телефоны, сканеры, принтеры и др.) | 1 | 0 | Низкий |
| Другие клиентские приложения | 38 | 10 | Высокий |
Практически половина обнаруженных уязвимостей (47.69%) в клиентском программном обеспечении позволяют компрометацию системы.
81.87% уязвимостей могут эксплуатироваться удаленно, 5.18% уязвимостей позволяют эксплуатацию в пределах локальной сети и 12.95% - локально.
2.59% обнаруженных уязвимостей имеют критический рейтинг опасности, 51.81% - высокий, 14.51% уязвимостей – средний и 31.09% - низкий рейтинг опасности.
Уязвимости в компонентах ОС
| ОС | Кол-во уведомлений | Макс. рейтинг опасности | |
| Всего/известных уязвимостей | Не устранено | ||
| Cisco IOS 12.x | 1/5 | 0 | Средний |
| FreeBSD 5.x | 3/3 | 0 | Средний |
| FreeBSD 6.x | 5/5 | 2 | Средний |
| FreeBSD 7.x | 2/2 | 1 | Низкий |
| Linux 2.6.x | 5/7 | 1 | Низкий |
| Debian GNU/Linux 4.0 | 3/3 | 0 | Низкий |
| Fedora 7, 8 | 1/1 | 0 | Низкий |
| Gentoo Linux | 1/1 | 0 | Низкий |
| Apple Macintosh OS X | 3/95 | 1 | Высокий |
| Microsoft Windows 2000 (Pro, Server) | 4/5 | 0 | Высокий |
| Microsoft Windows XP | 4/5 | 0 | Высокий |
| Microsoft Windows Vista | 5/6 | 1 | Высокий |
| Microsoft Windows 2003 | 5/6 | 0 | Высокий |
| HP-UX 11.x | 1/1 | 0 | Средний |
| AIX 4.x | 1/1 | 0 | Низкий |
| AIX 5.x | 6/22 | 0 | Средний |
| AIX 6.x | 8/25 | 1 | Средний |
| NetBSD 3.1 | 2/2 | 0 | Средний |
| OpenBSD 3.x | 1/1 | 0 | Средний |
| OpenBSD 4.0 | 1/1 | 0 | Средний |
| OpenBSD 4.1 | 4/5 | 0 | Средний |
| OpenBSD 4.2 | 6/7 | 0 | Средний |
| Unixware 7.1.4 | 1/1 | 0 | Низкий |
| Sun Solaris 8 | 2/2 | 0 | Средний |
| Sun Solaris 9 | 6/9 | 0 | Высокий |
| Sun Solaris 10 | 18/21 | 3 | Высокий |
В таблице указано количество уведомлений об уязвимостях, опубликованных на SecurityLab.ru и количество уязвимостей, описанных в уведомлении. В колонке «Не устранено» количество уязвимостей совпадает с количеством уведомлений. Диаграмма «Уязвимости в ОС» создана с учетом опубликованных уведомлений на SecurityLab.ru.
В компонентах операционных систем больше всего уязвимостей (33.63%) позволяют произвести DoS атаку, 18.58% - скомпрометировать целевую систему, 17.7% повысить привилегии в системе и 11.5% - получить доступ к потенциально важным данным. 44.16% опубликованных уязвимостей можно эксплуатировать удаленно, 6.49% - из локальной сети и 49.35% локально.
2. Уведомления безопасности от производителей
Всего было опубликовано 618 уведомлений безопасности от различных производителей.
| Производитель | Кол-во уведомлений |
| Fedora | 232 |
| Debian | 102 |
| Gentoo Linux | 68 |
| Red Hat | 57 |
| Sun | 38 |
| Suse | 27 |
| IBM | 24 |
| HP | 18 |
| Microsoft | 17 |
| Cisco | 13 |
| Slackware Linux | 10 |
| Symantec | 7 |
| FreeBSD | 4 |
| Oracle | 1 |
Итоги
Самыми опасными уязвимостями в первом квартале 2008 года по-прежнему являются уязвимости в клиентских приложениях, среди которых лидирующие места занимают ActiveX компоненты и мультимедийные приложения.
Самые опасные уязвимости в первом квартале 2008 года:
- Выполнение произвольного кода в Microsoft Internet Information Services (несмотря на наличие исправления от производителя было скомпрометировано более 10 000 сайтов, в том числе и сайт компании Trend Micro)
- Выполнение произвольного кода в Microsoft Excel
- Переполнение буфера в Yahoo! Music Jukebox ActiveX компоненте
- Переполнение буфера в Apple QuickTime
- Уязвимость форматной строки в ICQ