写点什么

MITRE 发布 2019 年 25 大软件缺陷

  • 2019-09-24
  • 本文字数:1545 字

    阅读完需:约 5 分钟

MITRE发布2019年25大软件缺陷

该列表包括了最常见和最严重的软件缺陷,这些缺陷可能导致严重的软件漏洞。



MITRE 最近发布了一份包含 25 个常见软件缺陷(CWE)的草案列表,该草案列出了可能导致软件严重漏洞的最常见也是最严重的缺陷,该组织在新闻发布会上还对此进行了解释。


网络安全和基础架构安全局(CISA)在关于这份草案列表的建议中说,攻击者通常可以利用这些漏洞来控制受影响的系统,窃取敏感数据,或致使拒绝服务的情况 。我们建议用户和管理员了解下这份清单,并查看 MITRE 提出的解决方案及补救措施。


这 25 个缺陷是提供给软件开发人员、测试人员、客户、项目经理、安全研究人员和教育工作者的社区资源,用以探索软件中的常见威胁。


今年,该团队采用了一种全新方法来获得列表。该方法涉及从美国国家漏洞数据库(NVD)内提取与 CVE 相关的数据,并考虑频率和平均通用漏洞评分系统(CVSS)得分以确定排名。使用评分公式来评估每个缺陷出现的频率和危险程度。


从以往的经验来看,此列表都是通过收集来自网络组织的调查回复以及收集来自安全分析师、研究人员和开发人员的反馈而编制的。这要求行业专家提交他们认为最常见或最重要的缺陷;然后使用定制化的 CVSS 来确定每个漏洞的等级。


MITER 说:“这种方法有很多优点,但是它也是劳动密集型的和主观的。”


2019 年的名单涉及更严格的统计过程,但它利用有关报告的漏洞数据来测量每个漏洞的危险性。


MITER 软件质量负责人 Drew Buttner 说:“我们希望采用一种更加客观的方法,并基于我们在现实世界中看到的东西来判断。”


2019 年的前 25 名缺陷包括部分 2017 年和 2018 年的缺陷,这反映了 CWE 团队为纠正数千个映射错误的 CVE 条目所做的努力。MITRE 计划在即将到来的 2020 年清单中评估来年的映射表。Buttner 指出,今年的 Top 25 是该榜单自 2011 年以来的首次发布,但是 MITRE 的目标是每年发布一份新榜单。


2019 年的缺陷榜单


今年的Top 25名单并没有什么意外之处,Buttner 和 MITER CWE 项目负责人 Chris Levendis 都表示同意。Buttner 指出:“许多主要的缺陷仍然存在,即使过去了十年,我们仍然会看到它们。” 尽管列表末尾的缺陷已被新的缺陷所取代,但最主要的缺陷通常没有什么变化。


得分最高的缺陷是 CWE-119,缓冲区溢出或“内存缓冲区范围内的操作限制不当”,得分为 75.56。某些语言允许直接寻址存储位置,并且不能自动确保该位置对所引用的存储缓冲区有效。这可能导致对链接到数据结构或内部程序数据的存储器位置执行读或写操作。攻击者可能执行恶意代码,更改控制流,读取敏感数据或使系统崩溃。


Buttner 和 Levendis 预计缓冲区溢出将排在第一位,因为它在 2011 年也接近最高,这是整个行业众所周知的缺陷。


第二高的是CWE-79,“网页生成过程中输入的不正确中和”或跨站点脚本编写,得分为 45.69。在将软件置于用户可控制的输入中之前,该软件不会中和或错误地中和用户可控制的输入,然后将该输出用作提供给其他用户的网页。不受信任的数据可能会进入 Web 应用程序并最终执行恶意脚本。


第三个是 CWE-20,即输入验证不当,当软件不验证或不正确地验证可能影响程序的控制流或数据流的输入时,就会存在。攻击者可以编写应用程序无法预期的输入。这可能导致系统的某些部分接收到意外的输入,这可能会导致任意代码被执行或产生被更改的控制流。


Levendis 说,软件用户可以使用前 25 名名单来评估他们购买的软件,确保软件供应商使用了正确的安全防范措施。对于那些开放源代码的软件,我们可以更好地了解开发人员是否关注了这些缺陷。当然开发人员也可以将该列表用作“优先备忘单”,毕竟其中包含他们应该关注的缺陷。


Levendis 最后补充说:“从最基本的层面上讲,如果你是软件消费者,那么你只能这样使用这些缺陷了。”


英文原文:


MITRE Releases 2019 List of Top 25 Software Weaknesses


2019-09-24 15:111578

评论

发布
暂无评论
发现更多内容

.NET Core中一些优秀的项目和框架

互联网工科生

.net core

Linux内核安全子系统简介(上)

nn-30

Linux Linux Kenel 内核 linux security 内核安全

从HumanEval到CoderEval: 你的代码生成模型真的work吗?

华为云开发者联盟

人工智能 华为云 华为云开发者联盟 代码生成大模型

Util应用框架基础(六)- 日志记录

何镇汐

开源 后端 软件开发

C++初始化列表:探索多种初始化方式

树上有只程序猿

初始化列表 C++

文心一言 VS 讯飞星火 VS chatgpt (134)-- 算法导论11.2 6题

福大大架构师每日一题

福大大架构师每日一题

Kubernetes Operator可以做什么?

高端章鱼哥

kubernetes 运维

「我在淘天做技术」假如你五行属商家,如何算好账?

阿里技术

财务 算好账 财务开发

从GPT定制到Turbo升级再到Assistants API,未来AI世界,你准备好了吗?

EquatorCoco

人工智能 AI GPT ChatGPT

ETH2049单币丨双币DAPP公链质押挖矿系统开发

l8l259l3365

Vue等轻量前端框架是如何与小程序结合的?

Geek_2305a8

TechEmpower 22轮Web框架 性能评测:.NET 8 战绩斐然

不在线第一只蜗牛

测评 .NET 7

Util应用框架基础(六)- 日志记录 - File

何镇汐

开源 后端 软件开发

DAZ Studio for Mac(专业三维人物动画制作工具) 4.20.0.17永久激活版

mac

苹果mac Windows软件 DAZ Studio 3D造型渲染软件

崩溃的阿里云,并非是单纯的坏事?

ToB行业头条

Util应用框架基础(六)- 日志记录 - Seq

何镇汐

开源 后端 软件开发

“ChatGPT 之父”暗讽马斯克;传安卓版本与鸿蒙将不再兼容;PICO 裁撤游戏工作室团队丨 RTE 开发者日报 Vol.83

声网

Tetris Native揭秘|有道词典动态化运营引擎

申国骏

ios android 跨端框架

重磅!科技感拉满!

天翼云开发者社区

人工智能 云计算

MITRE发布2019年25大软件缺陷_安全_Kelly Sheridan_InfoQ精选文章