网管必知 了解二十个最危险的安全漏洞
小心这些漏洞
大多数成功的蠕虫和其他网络***所依靠的都是少数几种通用操作系统中存在的安全漏洞。这些***者都是机会主义者。它们利用最简单、最便捷的路线,并且使用最有效且使用广泛的工具来寻找和利用众所周知的漏洞和弱点。如果企业没有及时修补漏洞,这些***者就会乘机而入,而且它们扫瞄 Internet上任何有漏洞的系统,不分清红皂白地发起***。蠕虫这种***手段非常容易传播且破坏力巨大,例如Blaster、Slammer和 Code Red等蠕虫都是直接利用未施加补丁的漏洞来四处传播并制造巨大的破坏。
四年前,SANS研究院和联邦调查局(FBI)的国家基础设施保护中心(NIPC)发布过一份文档,总结出了“10种最关键的Internet 安全漏洞”。数以千计的企业都非常重视这份文档,并且认真对待列表中的漏洞问题。在此后的三年中,他们又发布了扩展的“最危险的20项安全漏洞”列表,希望企业能够尽早对照自己存在的不足并且及时关闭这些最危险的安全漏洞。该列表中列出了许多存在漏洞的服务,其中就包括引发Blaster、 Slammer、Code Red及NIMDA蠕虫的那些臭名昭著的漏洞。
SANS这次发布的“最危险的20种漏洞”列表中事实上包括两个列表,每个包含10种漏洞,分别对应于Windows中最常被利用的10种漏洞和Unix及Linux环境下的10种最常见的漏洞。尽管每年都有数千种安全事件在影响着这些操作系统,但绝大多数成功的***都只瞄准了这20个漏洞中的一、两个。
在Windows漏洞列表中,排在最前面的是Web服务器和服务,而在Unix列表中,位居前列的是BIND域名系统。而每个条目有时都代表着一个非常广泛的类别。SANS的文档长达100多页,将问题归纳为一些具体的安全漏洞,并且提供了详尽的提示,以便用户对问题加以及时修正。
许多漏洞已经出现在过去发布的列表中,但据该列表的研究主任Ross Patel 称,今天的列表中有一些出人意料的东西。Patel指出,文件共享应用和即时消息分别位列Windows 列表中的第7位和第10位,它们都是比较新的漏洞类别。
Patel说:“专家们几乎一致认为文件共享和P2P是值得担忧的问题。”和即时消息一样,文件共享应用非常简单,而且易于使用,因此用户往往会忽略它们可能引发的安全问题。
Web浏览器位居Windows列表的第6位,而且该应用多年来一直是一个非常热门的安全话题。
Patel说:“对于世界任何一个角落的专家来说,Windows中唾手可得的Web浏览器是多数问题的来源,而且也是各种争议的焦点。”由于微软的IE浏览器存在的漏洞数量众多,因此许多安全专家在今年年初建议用户应当放弃IE浏览器而选择其他的浏览器,但负责本列表的专家却对该问题持有保留意见。
众所周知,这“最危险的20种漏洞”需要立即得到修补。这份列表是数十位顶级安全专家苦心研究的结果。这些专家来自英国、美国和新加坡等国家的最关注安全问题的政府机构、领先的安全软件厂商和咨询企业、顶级的大学安全项目,还有许多其他的用户组织和SANS研究院。在这份文档的结尾处列出了该项目中所有的参与者名单。
企业不再手忙脚乱
网络安全企业Qualys公司首席技术官Gerhard Eschelbeck认为,今年的“最危险的20种漏洞”列表将被企业广泛地使用,并且会成为企业考虑安全问题的基准。
Eschelbeck说:“业界和学术界的专家都一致认为,该列表中列出的都是一些最关键的漏洞。目前,每周新公布的漏洞数量达到了50个,也就是说每年就有2500个漏洞,因此企业如果想确定对哪些漏洞加以特别关注,就必须面临巨大的挑战。SANS的列表正好可以帮助他们优先处理那些危害最大的漏洞。”
SANS主任Alan Paller说:“当您要求自己的系统人员对数千个漏洞进行测试时,您的企业肯定会陷于停顿。而这份‘20个最危险的漏洞’列表则可以每年为您提供一份参考,帮助您着手修复系统中最关键的漏洞。”
Paller指出:“由于问题的范围相对较小,因此可以把这些问题交给系统管理员,并且给他们几个月的时间来解决问题,这样才是合理的方式。”
用户可以在SANS的网站上获得这份列表。
Windows系统中最危险的漏洞   Unix系统中最危险的漏洞
1、 Web服务器及服务         1、BIND域名系统
2、工作站服务                 2、Web服务器
3、 Windows远程访问服务    3、验证
4、 Microsoft SQL Server      4、版本控制系统
5、 Windows验证            5、邮件传输服务
6、 Web浏览器               6、简单网络管理协议(SNMP)
7、 文件共享应用              7、开放安全套接字层(SSL)
8、 LSAS泄露                 8、企业服务NIS/NFS的错误配置
9、 邮件客户端                9、数据库
10、 即时消息                 10、内核