QCon北京「鸿蒙专场」火热来袭!即刻报名,与创新同行~ 了解详情
写点什么

MITRE 发布 2019 年 25 大软件缺陷

  • 2019-09-24
  • 本文字数:1545 字

    阅读完需:约 5 分钟

MITRE发布2019年25大软件缺陷

该列表包括了最常见和最严重的软件缺陷,这些缺陷可能导致严重的软件漏洞。



MITRE 最近发布了一份包含 25 个常见软件缺陷(CWE)的草案列表,该草案列出了可能导致软件严重漏洞的最常见也是最严重的缺陷,该组织在新闻发布会上还对此进行了解释。


网络安全和基础架构安全局(CISA)在关于这份草案列表的建议中说,攻击者通常可以利用这些漏洞来控制受影响的系统,窃取敏感数据,或致使拒绝服务的情况 。我们建议用户和管理员了解下这份清单,并查看 MITRE 提出的解决方案及补救措施。


这 25 个缺陷是提供给软件开发人员、测试人员、客户、项目经理、安全研究人员和教育工作者的社区资源,用以探索软件中的常见威胁。


今年,该团队采用了一种全新方法来获得列表。该方法涉及从美国国家漏洞数据库(NVD)内提取与 CVE 相关的数据,并考虑频率和平均通用漏洞评分系统(CVSS)得分以确定排名。使用评分公式来评估每个缺陷出现的频率和危险程度。


从以往的经验来看,此列表都是通过收集来自网络组织的调查回复以及收集来自安全分析师、研究人员和开发人员的反馈而编制的。这要求行业专家提交他们认为最常见或最重要的缺陷;然后使用定制化的 CVSS 来确定每个漏洞的等级。


MITER 说:“这种方法有很多优点,但是它也是劳动密集型的和主观的。”


2019 年的名单涉及更严格的统计过程,但它利用有关报告的漏洞数据来测量每个漏洞的危险性。


MITER 软件质量负责人 Drew Buttner 说:“我们希望采用一种更加客观的方法,并基于我们在现实世界中看到的东西来判断。”


2019 年的前 25 名缺陷包括部分 2017 年和 2018 年的缺陷,这反映了 CWE 团队为纠正数千个映射错误的 CVE 条目所做的努力。MITRE 计划在即将到来的 2020 年清单中评估来年的映射表。Buttner 指出,今年的 Top 25 是该榜单自 2011 年以来的首次发布,但是 MITRE 的目标是每年发布一份新榜单。


2019 年的缺陷榜单


今年的Top 25名单并没有什么意外之处,Buttner 和 MITER CWE 项目负责人 Chris Levendis 都表示同意。Buttner 指出:“许多主要的缺陷仍然存在,即使过去了十年,我们仍然会看到它们。” 尽管列表末尾的缺陷已被新的缺陷所取代,但最主要的缺陷通常没有什么变化。


得分最高的缺陷是 CWE-119,缓冲区溢出或“内存缓冲区范围内的操作限制不当”,得分为 75.56。某些语言允许直接寻址存储位置,并且不能自动确保该位置对所引用的存储缓冲区有效。这可能导致对链接到数据结构或内部程序数据的存储器位置执行读或写操作。攻击者可能执行恶意代码,更改控制流,读取敏感数据或使系统崩溃。


Buttner 和 Levendis 预计缓冲区溢出将排在第一位,因为它在 2011 年也接近最高,这是整个行业众所周知的缺陷。


第二高的是CWE-79,“网页生成过程中输入的不正确中和”或跨站点脚本编写,得分为 45.69。在将软件置于用户可控制的输入中之前,该软件不会中和或错误地中和用户可控制的输入,然后将该输出用作提供给其他用户的网页。不受信任的数据可能会进入 Web 应用程序并最终执行恶意脚本。


第三个是 CWE-20,即输入验证不当,当软件不验证或不正确地验证可能影响程序的控制流或数据流的输入时,就会存在。攻击者可以编写应用程序无法预期的输入。这可能导致系统的某些部分接收到意外的输入,这可能会导致任意代码被执行或产生被更改的控制流。


Levendis 说,软件用户可以使用前 25 名名单来评估他们购买的软件,确保软件供应商使用了正确的安全防范措施。对于那些开放源代码的软件,我们可以更好地了解开发人员是否关注了这些缺陷。当然开发人员也可以将该列表用作“优先备忘单”,毕竟其中包含他们应该关注的缺陷。


Levendis 最后补充说:“从最基本的层面上讲,如果你是软件消费者,那么你只能这样使用这些缺陷了。”


英文原文:


MITRE Releases 2019 List of Top 25 Software Weaknesses


2019-09-24 15:111688

评论

发布
暂无评论
发现更多内容

web前端培训班哪个好选择

小谷哥

一文读懂字节跳动“埋点验证平台”

字节跳动数据平台

字节跳动 数据治理 埋点治理 数据研发 埋点验证

华为云服务之弹性云服务器ECS的深度使用和云端实践【华为云至简致远】

科技云未来

弹性云服务器ECS

JavaScript 里三个点 ...,可不是省略号啊···

华为云开发者联盟

JavaScript 前端 运算符 函数

「Gitee篇」如何用Git平台账号登录建木CI

Jianmu

git 开源 DevOps 低代码 gitee

国产数据库的红利还能“吃”多久?

墨天轮

数据库 国产数据库

阿里巴巴最新分享Spring Cloud核心笔记,全程实例讲解,通俗易懂

Java工程师

Java spring spring-cloud

有了这个开源工具后,我五点就下班了!

IT学习日记

EasyExcel 签约计划第三季 seaweedfs文件系统 java excel导出导入 java csv导出导入

*打卡—>什么是云数据库&&沙箱实验如何用python和数据库来爬虫?【华为云至简致远】

科技云未来

云数据库

科创人·优锘科技COO孙岗:错误问题找不到正确答案,求索万物可视的大美未来

科创人

如何选择ui设计机构

小谷哥

Java面试项目推荐,15个项目吃透两个offer拿到手软

冉然学Java

offer java; 技术栈 MAll java项目实战分享

带你玩转“超大杯”ECS特性及实验踩坑【华为云至简致远】

科技怪咖

【有奖征文 第13期】至简致远,“云”响世界,大胆秀出你的华为云技术主张,高额激励等你拿

科技怪咖

腾讯云产品可观测最佳实践 (Function)

观测云

2022年中国全民健身发展白皮书

易观分析

行业分析 健身

前端培训机构课程怎么样

小谷哥

LED显示屏在会议室如何应用

Dylan

LED显示屏 led显示屏厂家

原来如此!谷歌架构师10年呕心沥血汇成的《23种设计模式》,这才是正解

冉然学Java

架构 23种设计模式 java; 编程、

Beetl使用记录

Geek_163f36

一起来学华为云数据库,RDS实践【华为云至简致远】

科技云未来

云数据库

开源一夏 | Spring事务传播机制

六月的雨在InfoQ

开源 Spring事务 8月月更

干货:从零设计高并发架构

C++后台开发

高并发 架构师 C/C++后台开发 C/C++开发 高并发架构

面向云时代的龙蜥操作系统 是 CentOS 替代的最佳选择

OpenAnolis小助手

龙蜥操作系统 开放原子全球开源峰会 OpenAnolis 分论坛 CentOS 停服 CentOS 迁移最佳选择

基于DevCloud进行黑白棋实时对战游戏开发实践【华为云至简致远】

科技怪咖

10分钟快速入门RDS【华为云至简致远】

科技云未来

RDS

华为云分布式缓存服务Redis开通及使用规划教程【华为云至简致远】

科技云未来

redis'

写给 Java 程序员的前端 Promise 教程

CRMEB

湖北钠斯网络数字藏品交易系统

开源直播系统源码

NFT 数字藏品

秋招冲刺版!奉上[Java一线大厂高岗面试题解析合集]

冉然学Java

面试 面试题 大厂 java; 秋招

携手数字创新 共筑国产生态 7月份AntDB与5款产品完成互认证

亚信AntDB数据库

AntDB 国产数据库 AISWare AIDB

MITRE发布2019年25大软件缺陷_安全_Kelly Sheridan_InfoQ精选文章