发现安全漏洞并不十分困难。独立研究者每报告给开发商一个漏洞,就有可能存在好几个漏洞没有被知道它们的人告知给开发商。我们相信,防御你的网络和数据库免受这些未知漏洞攻击的最佳方式是,细致地理解已知漏洞的技法,并尝试创建可阻止这类漏洞的配置,而不是简单地安装补丁和希望无人攻击你。

安全漏洞相关术语
1.CVSS弱点
通用安全弱点评估系统(CVSS,Common Vulnerability Scoring System)是一个行业的标准,旨在评估安全漏洞的严重性。它由几个通信领域和计算机安全领域的领头公司发起制定的,并有FIRST.ORG全力支持的一种安全弱点评估系统。它解决了先前安全弱点评估系统不相容的问题,并且提供一个简洁统一的安全弱点评分,从而方便安全问题的交流通知,企业单位也可以在短时间内对安全漏洞进行及时合适的风险评估,把损失减少到最小。CVSS已经广泛应用到目前主流的商业扫描产品中。
  CVSS基本要素
CVSS从三个不同的方面进行安全评估:基本度量、时序度量和环境度量。最终得到一个1~10之间的数字,这个数字表示了安全弱点的总体严重性。
基本度量评估安全漏洞的内在属性。这些属性不随时间或产品实施环境的变化而变化。基本度量有7个基本的度量标准:
① 入侵途径考虑
② 入侵措施的复杂性考虑
③ 密码认证需要考虑
④ 信息机密性的影响
⑤ 信息完整的影响
⑥ 服务持续性的影响
⑦ 偏向因子
时序度量是指安全弱点的时间性属性,这些属性随着时间的变化而变化。CVSS有三个时间度量:
① 安全漏洞的可用阶段
② 修补措施有效程度
③ 安全漏洞报告可信任度
使用环境量度是指在不同的产品使用环境中,产品安全漏洞所造成的危害程度也不同。使用环境量度是对有安全漏洞产品使用环境属性的评估。
① 附带损害:产品安全漏洞带来的设备实体损失,或财产损坏以及生命危险。
② 产品实施规模指标:以此来衡量产品使用规模对安全漏洞危害性的影响。
  CVSS的目标
CVSS是为所有软件安全漏洞提供一个严重程度的量化评级。这就意味着CVSS旨在为一个已知安全漏洞的严重程度提供一个数值(分数),而不管这个安全漏洞影响的软件类型是什么,不管它是操作系统、杀毒软件、数据库、邮件服务器、桌面还是商务应用程序。由于这个评分范围非常广,这个评分系统把能够完全攻破操作系统层的已知安全漏洞评为基准分数10.0分。换句话说,CVSS基准分数为10.0分的安全漏洞一般指能够完全攻破系统的安全漏洞,典型的结果是攻击者完全控制一个系统,包括操作系统层的管理或者“根”权限。
  CVSS对于漏洞修复工作的指导意义
漏洞扫描工具对每个漏洞都有详细的描述,包括漏洞的说明、影响的系统、平台、危险级别以及标准的CNCVE、CVE、BUGTRAQ等对应关系以及链接信息,并提供修补方案,如系统加固建议、安全配置步骤以及补丁下载链接等,这些信息可以帮助用户建立对漏洞的全面认识。但是哪些漏洞必须优先修复,这是一个比较难以衡量的指标。
而通过CVSS评分,能够直接给修复工作提供优先级的指导,以确保最危险的漏洞被先修复。如下列出了CVSS评分和修复工作优先级的关系,并给出推荐的修复工作时限。
2.CVE
CVE的英文全称是Common Vulnerabilities & Exposures(公共漏洞和暴露)。CVE安全组织由美国国土安全部(U.S.depanmenl of home1and securitv)的国家网络安全局(national cvbersecuritv divisi0n)资助,为公众提供免费的漏洞信息查询、统计等服务翻。CVE所发布的漏洞公告范围更广,不仅包含了软件漏洞,还包含了网站的SQL注入、Xpath注入、跨站脚本攻击等web漏洞。
CVE就好像是一个字典表,为广泛认同的信息安全漏洞或者已经暴露出来的弱点给出一个公共的名称。使用一个共同的名字,可以帮助用户在各自独立的各种漏洞数据库和漏洞评估工具中共享数据,虽然这些工具很难整合在一起。这样就使得CVE成为了安全信息共享的“关键字”。在一个漏洞报告中指明的一个漏洞,如果有CVE名称,你就可以快速地在任何其他CVE兼容的数据库中找到相应的修补信息,解决安全问题。
CVE的产生背景
随着最近一些年来全球范围的黑客入侵日益猖獗,信息安全问题越来越严重。在对抗黑客入侵的安全技术中,实时入侵检测和漏洞扫描评估(IdnA,Intrusion Detection and Assessment)的技术和产品已经开始占据越来越重要的位置。目前实时入侵检测和漏洞扫描评估基于的主要方法还是“已知入侵手法检测”和“已知漏洞扫描”,换句话说就是基于知识库的技术。可见,决定一个IDnA技术和产品的重要标志就是能够检测的入侵种类和漏洞数量。1999年2月8日的InfoWorld在比较当时ISS的Internet Scanner 5.6和NAI的CyberCop 2.5时有一段描述:“由于没有针对这些扫描器平台的分类标准,直接比较它们的数据库非常困难。我们找到在Internet Scanner和CyberCop中同一个漏洞采用了不同的名称……”各个IDnA厂家在阐述自己产品的水平时,都会声称自己的扫描漏洞数最多,你说有1000,我说有5000。我们的用户如何辨别?不同的厂家在入侵手法和漏洞这方面的知识库各有千秋,用户如何最大限度地获得所有安全信息?CVE就是在这样的环境下应运而生的。CVE开始建立是在1999年9月,起初只有322个条目。在2000年10月16日,CVE达到了一个重要的里程碑——超过1000个正式条目。截至2008年12月30日,CVE已经达到了1077个条目,另外还有1047个候选条目。已经有超过28个漏洞库和工具声明为CVE兼容。
 CVE的特点
 为每个漏洞和暴露确定了唯一的名称
 给每个漏洞和暴露一个标准化的描述
 不是一个数据库而是一个字典
 任何完全迥异的漏洞库都可以用同一个语言表述
 由于语言统一可以使得安全事件报告更好地被理解,实现更好的协同工作
 可以成为评价相应工具和数据库的基准
 非常容易从互联网查询和下载,地址是http://www.cve.mitre.org
 通过CVE编辑部体现业界的认可

3 NVD
NVD(National Vulnerability Database)标准数据库中所有CVE命名的漏洞条目均支持通命名的漏洞条目缺陷评估系统(CVSS),并提供CVSS漏洞分级之一的漏洞基准值。漏洞基准值代表每个漏洞的内在属性。同时NVD自身也提供CVSS分值计算器(CVSS Score Calculator),利用该计算器可以计算CVSS其他两个漏洞属性分值。


4 应用实例
下面以Mysql数据库的两个例子说明:
(1)MySQL密码长度远端缓冲区溢出弱点 
风险等级:高风险
影响平台:Windows、UNIX/Linux 
攻击需求:由远端进行攻击 
造成危害:取得系统权限 
CVSS弱点评分:10
CVE ID:CVE-2004-0628 
内容描述:MySQL 4.1.x在4.1.3之前的版本,以及5.0的版本存在安全弱点,当远端攻击者发送长度是零的scrambled字串时,将允许攻击者未经授权而存取数据库。
修补方式:升级到最新版本的MySQL(4.1.3, 5.0或更高的版本)。
发布日期:2004-07-11 

(2)MySQL udf_init function信息泄漏弱点 
风险等级:高风险
影响平台:Windows、UNIX/Linux 
攻击需求:由本地进行攻击 
造成危害:取得系统权限 
CVSS弱点评分:4.9
CVE ID:CVE-2005-0709 
内容描述:MySQL 4.0.23及之前版本与4.1.10及之前的版本存在一个信息泄漏的弱点。这个弱点的问题存在sql_udf.cc中udf_init() function在检查资料夹区分时缺乏适当的验证,导致信息洩漏的弱点。当本地端攻击者拥有INSERT和DELETE的权限时,可以利用CREATE FUNCTION来呼叫libc程序库,进而执行任意的程序码。
修补方式:参考MySQL 4.0与4.1 下载,升级到4.0.24或4.1 .10a或最新的MySQL版本。
发布日期:2005-03-15

文章如转载,请注明转载自:http://www.5iadmin.com/post/884.html