FBIとSANSが20大セキュリティホールを発表
タレコミ by gori
gori 曰く、
ZDNetの 記事 によると、「SANS(System Administration, Networking and Security)Instituteは連邦捜査局(FBI)とともに,2日,20大セキュリティホールを発表した。」そうだ。
発表された「トップ20リスト」には、全てのシステムでの脆弱性、Windowsの脆弱性、UNIXの脆弱性のカテゴリーにわけられている。
全てのシステムの脆弱性は、まぁあたりまえの内容。
UNIXの脆弱性も、sendmailとかbindとか、アプリケーションの脆弱性であって、代替のソフトを使えば機能を損なうことが無いものが大半。
一方、Windowsの脆弱性は、対策を行うと機能を損なうような重大な脆弱性(W5)とか、パッチ以外に対策が無い重大な穴が多いように思われる。
また、これを見ると、「IISをやめろ」という議論は、Unixで言えば「sendmailをやめてqmailを使え/postfixを使え」というのに等しいだけで、当たり前な話しのように思われる。
各自、対策を怠っていないか、 SANSの元記事を参照して確認してね。
ちなみに、Top20のタイトルだけ抜き出したのが以下。
Top Vulnerabilities That Affect All Systems (G)
G1 - Default installs of operating systems and applications
G2 - Accounts with No Passwords or Weak Passwords
G3 - Non-existent or Incomplete Backups
G4 - Large number of open ports
G5 - Not filtering packets for correct incoming and outgoing addresses
G6 - Non-existent or incomplete logging
G7 - Vulnerable CGI Programs
Top Vulnerabilities to Windows Systems (W)
W1 - Unicode Vulnerability (Web Server Folder Traversal)
W2 - ISAPI Extension Buffer Overflows
W3 - IIS RDS exploit (Microsoft Remote Data Services)
W4 - NETBIOS - unprotected Windows networking shares
W5 - Information leakage via null session connections
W6 - Weak hashing in SAM (LM hash)
Top Vulnerabilities To Unix Systems (U) U1 - Buffer Overflows in RPC Services
U2 - Sendmail Vulnerabilities
U3 - Bind Weaknesses
U4 - R Commands
U5 - LPD (remote print protocol daemon)
U6 - sadmind and mountd
U7 - Default SNMP Strings