走出陷阱---Top20清單幫你確定安全基準點(轉)

　　在每週約50種新漏洞被披露、一年約2500種新漏洞被發現的前提下，網管員面臨著巨大的工作壓力：應該關注哪些漏洞，應該給哪些系統打補丁。美國系統網路安全協會（SANS）日前釋出了最值得關注的2004年度核心軟體的漏洞清單（Top 20清單），來幫助網管員確定防範重點。[@more@]

　　

　　一年一度的Top 20清單是根據全球安全研究機構的建議彙編而成的，提供建議的機構包括美國國家基礎設施保護中心和英國國家基礎設施安全協調中心等組織。Top 20清單實際上是由兩個Top 10清單組成：10個經常被利用的Windows漏洞以及10個經常被利用的Unix/Linux漏洞。SANS希望該清單能夠提醒使用者：Windows和Unix/Linux的許多安全隱患已經被發現並被惡意利用。

　　

　　執行在Unix作業系統上的Unix核心和資料庫、執行在Windows上的安全子系統和即時訊息第一次出現在Top 20清單當中。在Windows清單中排名第7位和第10位的檔案共享應用和即時訊息中的漏洞代表了一類新型風險。專家們一致對檔案共享和對等技術表示了擔心。與即時訊息一樣，檔案共享應用簡單易用，但安全問題卻常常被忽視。在Windows清單上排名第6的Web瀏覽器是造成眾多安全危害的根源，由於IE瀏覽器存在眾多安全問題，一些安全專家曾在今年年初時建議使用者採用其他瀏覽器。Top 20清單的制訂者也建議使用者選擇安全的瀏覽器。

　　

　　SANS的研究結果並不支援Windows比Unix/Linux更安全或更不安全的論點。顯然，作業系統平臺上的安全問題與軟體開發過程中的質量控制息息相關。Windows XP擁有4000多萬行原始碼，程式錯誤在所難免。Linux也擁有3000多萬行原始碼，自然存在許多錯誤，只是Linux程式碼的公開性意味著安全問題可以更快地得到發現和解決。SANS列出的安全問題有些並不是程式設計錯誤，而是功能問題。例如，SANS認為Outlook郵件客戶端軟體嵌入的自動化特性與內建的安全控制元件不一致，經常導致郵件病毒、蠕蟲、惡意程式碼危害本地系統的問題，而這些問題很難解決。

　　

　　SANS認為，使用者根本不可能停用這些軟體，採取積極的補丁策略是使用者保全系統的惟一希望。得到業界支援的“常見漏洞”清單收錄了1萬種漏洞。這一數字包括3300種已知遠端可利用漏洞，其中的200種與SANS確定的20大漏洞有關。SANS研究主管Alan Paller指出，如果不法分子進行搜尋的話，將會找到成千上萬的可以利用的漏洞。而將一張羅列了上萬種漏洞的報告交給網管員時，他們肯定不知應該從何處下手。

　　

　　SANS 之所以公佈Top 20清單，其目的是為使用者提供一個對付致命問題的安全基準。SANS利用這份清單敦促企業根據漏洞的危險等級有的放矢地制定補丁管理戰略。制訂該清單的委員會成員Gerhard Eschelbeck認為，這份清單是各機構在保護關鍵IT基礎設施時必須考慮的最小清單。Top 20清單的作用就是為網管員提供一個每年進行修補工作的起點。利用這張羅列了最危險漏洞的清單，系統管理員只需花幾個月時間就可以解決它們，這使得安全漏洞的彌補工作更加合理。

　　

　　最常見的漏洞 Unix/Linux 描述

　　

　　BIND DNS 由於BIND無處不在，它已經成為拒絕服務緩衝區溢位和快取投毒等攻擊的目標。

　　

　　版本控制系統 用於遠端訪問的Concurrent Versions System中存在漏洞。

　　

　　開放SSL Open SSL庫中存在多種漏洞。

　　

　　資料庫 資料庫是極其複雜的應用，常常很難進行正確地配置和保護。

　　

　　核心 來自核心漏洞的風險包括拒絕服務、利用系統特權執行任意程式碼、對檔案系統無限制的訪問以及根訪問。

　　

　　Windows 描述

　　

　　Web伺服器和服務 HTTP伺服器的預設安裝以及用於響應HTTP請求的額外部件存在安全隱患。

　　

　　Web瀏覽器 Internet Explorer、Mozilla、Firefox、Netscape和Opera存在漏洞。

　　

　　LSAS暴露 Windows Local Security Authority Subsystem Service包含致命的緩衝區溢位漏洞，如果被利用的話，會導致危及整體系統的風險。

　　

　　郵件客戶程式 如果配置得當，Outlook和Outlook Express可以保護使用者免受病毒、蠕蟲、惡意程式碼的攻擊。

　　

　　即時訊息 即時訊息中存在的遠端可利用漏洞成為危及網路安全的嚴重威脅。

　　

　　說明：以上是最常見的軟體漏洞，這些漏洞沒有按特定順序排列。完整的清單和說明可以訪問。