forum.opennet.ru

Составление сообщения

Исходное сообщение

"Анализ уязвимостей за последние 25 лет"
Отправлено opennews, 04-Мрт-13 12:54

Компания Sourcefire, известная разработкой таких свободных проектов, как Snort и ClamAV, опубликовала (http://www.sourcefire.com/25yearsofvulns) (PDF (https://ae.rsaconference.com/US13/connect/fileDownload/sessi...)) результаты анализа тенденций в области выявления уязвимостей за последние 25 лет. В качестве источников для классификации уязвимостей использовалась база данных CVE (http://cve.mitre.org/about/index.html) (Common Vulnerabilities and Exposure), в которой накоплена информация о проблемах безопасности начиная с 1988 года, а также сведения об уязвимостях из базы NVD (http://nvd.nist.gov/) (National Vulnerability Database), поддерживаемой Национальным институт стандартов и технологий США (NIST).

Пик выявления уязвимостей пришёлся на 2006 и 2007 годы, после чего до 2011 года наблюдался спад, но в 2012 году вновь обнаружилась тенденция роста интенсивности выявления уязвимостей:
<center><a href="http://www.itwire.com/images/articles/david-heath/Sourefire1... src="https://www.opennet.ru/opennews/pics_base/0_1362383404.png" style="border-style: solid; border-color: #606060; border-width: 1px;" title="" border=0></a></center>

При этом, если рассматривать только опасные уязвимости, то в 2012 году продолжает наблюдаться спад и видно, что прирост в основном связан с выявлением неопасных проблем безопасности:

<center><a href="http://www.itwire.com/images/articles/david-heath/Sourefire2... src="https://www.opennet.ru/opennews/pics_base/0_1362383659.png" style="border-style: solid; border-color: #606060; border-width: 1px;" title="" border=0></a></center>

Также в последние несколько лет наблюдается уменьшение числа опасных уязвимостей в процентном отношении от общего числа проблем с безопасностью:
<center><a href="http://www.itwire.com/images/articles/david-heath/Sourefire3... src="https://www.opennet.ru/opennews/pics_base/0_1362384562.png" style="border-style: solid; border-color: #606060; border-width: 1px;" title="" border=0></a></center>

При разборе общей массы уязвимостей, которым присвоен высокий у уровень опасности, 35% таких уязвимостей вызваны переполнением буфера, 8% - некорректной организацией управления доступом и 6% недостаточной проверкой корректности входных данных:
<center><a href="http://www.itwire.com/images/articles/david-heath/Sourefire4... src="https://www.opennet.ru/opennews/pics_base/0_1362384758.png" style="border-style: solid; border-color: #606060; border-width: 1px;" title="" border=0></a></center>

Из общего числа уязвимостей лидируют проблемы, позволяющие осуществить подстановку кода HTML/JavaScript на страницы (Cross-Site Scripting, XSS), но среди проблем с высоким уровнем опасности XSS-уязвимости почти не встречаются. При выборке трех самых распространённых уязвимостей года, XSS входит число таких проблем с 2005 года. По числу уязвимостей также лидируют проблемы, связанные с переполнением буфера и подстановкой SQL-кода. Тем не менее в 2012 году наблюдается выход в число лидеров проблем, связанных с обходом ограничений доступа, а в 2011 году уязвимостей из-за недостаточно проверки входных данных.

<center><a href="http://www.itwire.com/images/articles/david-heath/Sourefire6... src="https://www.opennet.ru/opennews/pics_base/0_1362385148.png" style="border-style: solid; border-color: #606060; border-width: 1px;" title="" border=0></a></center>

При рассмотрении распределения интенсивности выявления уязвимостей по типам продуктов, отмечено, что наиболее активно уязвимости устраняются в Linux (в статье упоминается ядро Linux, но вероятно это опечатка, так как к данной категории отнесены уязвимости, никаким образом не проявляющиеся в ядре, например, XSS и подстановка SQL-кода). Кроме того, все Linux-системы были отмечены в отчёте одной строкой, в то время как системы подобные Windows и Mac OS X были учтены с разбивкой по типам и версиям продуктов (например, вместо одной системы Mac OS X было упомянуто три продукта, а число редакций Windows составило 13).

При суммировании данных по типам продуктов, исключив мобильные платформы, для Windows будет зафиксировано 1114 уязвимостей, для Mac OS X - 827, а для Linux - 1752 (были отсеяны уникальые CVE, в которых упомянуты такие дистрибутивы, как Ubuntu и RHEL). С учетом обилия поставляемого в дистрибутивах Linux программного обеспечения, в то время как в Windows и Mac OS X пользователю предлагается почти голая операционная система, лидерство Linux-продуктов по числу уязвимостей не вызывает удивления.

URL: http://www.itwire.com/business-it-news/security/58927-25-yea...
Новость: https://www.opennet.ru/opennews/art.shtml?num=36287

Исходное сообщение
"Анализ уязвимостей за последние 25 лет" Отправлено opennews, 04-Мрт-13 12:54
Компания Sourcefire, известная разработкой таких свободных проектов, как Snort и ClamAV, опубликовала (http://www.sourcefire.com/25yearsofvulns) (PDF (https://ae.rsaconference.com/US13/connect/fileDownload/sessi...)) результаты анализа тенденций в области выявления уязвимостей за последние 25 лет. В качестве источников для классификации уязвимостей использовалась база данных CVE (http://cve.mitre.org/about/index.html) (Common Vulnerabilities and Exposure), в которой накоплена информация о проблемах безопасности начиная с 1988 года, а также сведения об уязвимостях из базы NVD (http://nvd.nist.gov/) (National Vulnerability Database), поддерживаемой Национальным институт стандартов и технологий США (NIST). Пик выявления уязвимостей пришёлся на 2006 и 2007 годы, после чего до 2011 года наблюдался спад, но в 2012 году вновь обнаружилась тенденция роста интенсивности выявления уязвимостей: <center><a href="http://www.itwire.com/images/articles/david-heath/Sourefire1... src="https://www.opennet.ru/opennews/pics_base/0_1362383404.png" style="border-style: solid; border-color: #606060; border-width: 1px;" title="" border=0></a></center> При этом, если рассматривать только опасные уязвимости, то в 2012 году продолжает наблюдаться спад и видно, что прирост в основном связан с выявлением неопасных проблем безопасности: <center><a href="http://www.itwire.com/images/articles/david-heath/Sourefire2... src="https://www.opennet.ru/opennews/pics_base/0_1362383659.png" style="border-style: solid; border-color: #606060; border-width: 1px;" title="" border=0></a></center> Также в последние несколько лет наблюдается уменьшение числа опасных уязвимостей в процентном отношении от общего числа проблем с безопасностью: <center><a href="http://www.itwire.com/images/articles/david-heath/Sourefire3... src="https://www.opennet.ru/opennews/pics_base/0_1362384562.png" style="border-style: solid; border-color: #606060; border-width: 1px;" title="" border=0></a></center> При разборе общей массы уязвимостей, которым присвоен высокий у уровень опасности, 35% таких уязвимостей вызваны переполнением буфера, 8% - некорректной организацией управления доступом и 6% недостаточной проверкой корректности входных данных: <center><a href="http://www.itwire.com/images/articles/david-heath/Sourefire4... src="https://www.opennet.ru/opennews/pics_base/0_1362384758.png" style="border-style: solid; border-color: #606060; border-width: 1px;" title="" border=0></a></center> Из общего числа уязвимостей лидируют проблемы, позволяющие осуществить подстановку кода HTML/JavaScript на страницы (Cross-Site Scripting, XSS), но среди проблем с высоким уровнем опасности XSS-уязвимости почти не встречаются. При выборке трех самых распространённых уязвимостей года, XSS входит число таких проблем с 2005 года. По числу уязвимостей также лидируют проблемы, связанные с переполнением буфера и подстановкой SQL-кода. Тем не менее в 2012 году наблюдается выход в число лидеров проблем, связанных с обходом ограничений доступа, а в 2011 году уязвимостей из-за недостаточно проверки входных данных. <center><a href="http://www.itwire.com/images/articles/david-heath/Sourefire6... src="https://www.opennet.ru/opennews/pics_base/0_1362385148.png" style="border-style: solid; border-color: #606060; border-width: 1px;" title="" border=0></a></center> При рассмотрении распределения интенсивности выявления уязвимостей по типам продуктов, отмечено, что наиболее активно уязвимости устраняются в Linux (в статье упоминается ядро Linux, но вероятно это опечатка, так как к данной категории отнесены уязвимости, никаким образом не проявляющиеся в ядре, например, XSS и подстановка SQL-кода). Кроме того, все Linux-системы были отмечены в отчёте одной строкой, в то время как системы подобные Windows и Mac OS X были учтены с разбивкой по типам и версиям продуктов (например, вместо одной системы Mac OS X было упомянуто три продукта, а число редакций Windows составило 13). При суммировании данных по типам продуктов, исключив мобильные платформы, для Windows будет зафиксировано 1114 уязвимостей, для Mac OS X - 827, а для Linux - 1752 (были отсеяны уникальые CVE, в которых упомянуты такие дистрибутивы, как Ubuntu и RHEL). С учетом обилия поставляемого в дистрибутивах Linux программного обеспечения, в то время как в Windows и Mac OS X пользователю предлагается почти голая операционная система, лидерство Linux-продуктов по числу уязвимостей не вызывает удивления. URL: http://www.itwire.com/business-it-news/security/58927-25-yea... Новость: https://www.opennet.ru/opennews/art.shtml?num=36287

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Компания Sourcefire, известная разработкой таких свободных проектов, как Snort и ClamAV, 
> опубликовала (http://www.sourcefire.com/25yearsofvulns)  (PDF (https://ae.rsaconference.com/US13/connect/fileDownload/session/6981E2280C59E2E5DABB93D4BFD921C4/BR-F41.pdf)) 
> результаты анализа тенденций в области выявления уязвимостей за последние 25 лет. 
> В качестве источников для классификации уязвимостей использовалась база данных CVE (http://cve.mitre.org/about/index.html) 
> (Common Vulnerabilities and Exposure), в которой накоплена информация о проблемах безопасности 
> начиная с 1988 года, а также сведения об уязвимостях из базы 
> NVD (http://nvd.nist.gov/) (National Vulnerability Database), поддерживаемой Национальным 
> институт стандартов и технологий США (NIST).

> Пик выявления уязвимостей пришёлся на 2006 и 2007 годы, после чего до 
> 2011 года наблюдался спад, но в 2012 году вновь обнаружилась тенденция 
> роста интенсивности выявления уязвимостей:

> <center><a href="http://www.itwire.com/images/articles/david-heath/Sourefire1.png"><img 
> src="https://www.opennet.ru/opennews/pics_base/0_1362383404.png" style="border-style: 
> solid; border-color: #606060; border-width: 1px;" title="" border=0></a></center>

> При этом, если рассматривать только опасные уязвимости, то в 2012 году продолжает 
> наблюдаться спад и видно, что прирост в основном связан с выявлением 
> неопасных проблем безопасности:

> <center><a href="http://www.itwire.com/images/articles/david-heath/Sourefire2.png"><img 
> src="https://www.opennet.ru/opennews/pics_base/0_1362383659.png" style="border-style: 
> solid; border-color: #606060; border-width: 1px;" title="" border=0></a></center>

> Также в последние несколько лет наблюдается уменьшение числа опасных уязвимостей в процентном 
> отношении от общего числа проблем с безопасностью:

> <center><a href="http://www.itwire.com/images/articles/david-heath/Sourefire3.png"><img 
> src="https://www.opennet.ru/opennews/pics_base/0_1362384562.png" style="border-style: 
> solid; border-color: #606060; border-width: 1px;" title="" border=0></a></center>

> При разборе общей массы уязвимостей, которым присвоен высокий у уровень опасности, 35% 
> таких уязвимостей вызваны переполнением буфера, 8% - некорректной организацией управления 
> доступом и 6% недостаточной проверкой корректности входных данных:

> <center><a href="http://www.itwire.com/images/articles/david-heath/Sourefire4.png"><img 
> src="https://www.opennet.ru/opennews/pics_base/0_1362384758.png" style="border-style: 
> solid; border-color: #606060; border-width: 1px;" title="" border=0></a></center>

>  Из общего числа уязвимостей лидируют проблемы, позволяющие осуществить подстановку кода 
> HTML/JavaScript на страницы (Cross-Site Scripting, XSS), но среди проблем с высоким 
> уровнем опасности XSS-уязвимости почти не встречаются. При выборке трех самых распространённых 
> уязвимостей года, XSS входит число таких проблем с 2005 года. По 
> числу уязвимостей также лидируют проблемы, связанные с переполнением буфера и подстановкой 
> SQL-кода. Тем не менее в 2012 году наблюдается выход в число 
> лидеров проблем, связанных с обходом ограничений доступа, а в 2011 году 
> уязвимостей из-за недостаточно проверки входных данных.

> <center><a href="http://www.itwire.com/images/articles/david-heath/Sourefire6.png"><img 
> src="https://www.opennet.ru/opennews/pics_base/0_1362385148.png" style="border-style: 
> solid; border-color: #606060; border-width: 1px;" title="" border=0></a></center>

> При рассмотрении распределения интенсивности выявления уязвимостей по типам продуктов, 
> отмечено, что наиболее активно уязвимости устраняются в Linux (в статье упоминается 
> ядро Linux, но вероятно это опечатка, так как к данной категории 
> отнесены уязвимости, никаким образом не проявляющиеся в ядре, например, XSS и 
> подстановка SQL-кода). Кроме того, все Linux-системы были отмечены в отчёте одной 
> строкой, в то время как системы подобные Windows и Mac OS 
> X были учтены с разбивкой по типам и версиям продуктов (например, 
> вместо одной системы Mac OS X было упомянуто три продукта, а 
> число редакций Windows составило 13).

> При суммировании данных по типам продуктов, исключив мобильные платформы, для Windows будет 
> зафиксировано 1114 уязвимостей, для Mac OS X - 827, а для 
> Linux - 1752 (были отсеяны уникальые CVE, в которых упомянуты такие 
> дистрибутивы, как Ubuntu и RHEL). С учетом обилия поставляемого в дистрибутивах 
> Linux программного обеспечения, в то время как в Windows и Mac 
> OS X пользователю предлагается почти голая операционная система, лидерство Linux-продуктов 
> по числу уязвимостей не вызывает удивления.

> URL: http://www.itwire.com/business-it-news/security/58927-25-years-of-vulnerabilities-linux-has-the-most 
 
> Новость: https://www.opennet.ru/opennews/art.shtml?num=36287

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

На сайте действует частичное премодерирование - после публикации некоторые сообщения от анонимов могут автоматически скрываться ботом. После проверки модератором ошибочно скрытые сообщения раскрываются. Для ускорения раскрытия можно воспользоваться ссылкой "Сообщить модератору", указав в качестве причины обращения "скрыто по ошибке".

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру