返回
2015年度漏洞威胁报告

2015年度漏洞威胁报告

ID:35199895

大小:489.13 KB

页数:7页

时间:2019-03-21

2015年度漏洞威胁报告_第1页
2015年度漏洞威胁报告_第2页
2015年度漏洞威胁报告_第3页
2015年度漏洞威胁报告_第4页
2015年度漏洞威胁报告_第5页
资源描述:

《2015年度漏洞威胁报告》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库

1、2015年数据库漏洞威胁报告作者安华金和思成互联网就像空气,彻底的融入我们的生活之中。因此我们愈发习惯把越来越多的数据保存在网上以换取更便捷的服务。不过,随之而来的安全事件无不让人触目惊心。安华金和数据库安全攻防实验室(DBSecLabs)回忆2015年整年发生的数据泄露事件,2015年一月机锋论坛包括用户名、邮箱、加密密码的2300万用户信息泄漏。随后国内10多家酒店大量客户开房信息泄漏、中国广东人寿10W保单泄漏、大麦网600万用户信息和网易邮箱过亿用户信息泄漏……一连串的信息泄漏事件无不令人提心吊胆。覆巢之下安有完卵,全球第二大比特币交易网站Bitstamp遭到黑客入侵,新型银行

2、木马Emotet盗取德国国民网银证书,就连一直以安全著称的瑞士银行在互联网的世界也难逃被黑客入侵的噩梦。数据库漏洞研究起源大数据时代的来临,各个行业数据量成BT级增长。数据库被广泛使用在各种新的场景中,在某些场景下面临的安全威胁是数据库现有安全机制无法防护的。可以看到的是:数据库的优良性能和落后的安全机制成为鲜明的对比。虽然数据库安全设计最初是按照美国国防部的标准制定而成,不过那些安全标准与现实安全的意义有着很大的差别。纵然大部分商用数据库都通过了安全标准检验,但随着功能的开发和部署在危险的网络环境中,安全短板就成为其“阿克琉斯之踵”。1996年开始数据库安全进入安全团队视野,同年4月

3、份Oracle被披露出第一个安全漏洞开始,随着新版本和新功能的出现漏洞呈震荡增长趋势。2014年当年被披露的各大数据库漏洞高达129个。-7-©2016安华金和图1.12011-2015主流数据库漏洞数量今年截止到2015年12月份初被确认数据库漏洞一共76个,比2014年下降了53个,减幅达到41%。这与各大数据库公司开发自己的代码审计工具有着密不可分的联系。2015年漏洞分布OracleMicrosoftSQLServerMySQLIBMDB2POSTGRESQLSAPSYBASEIBMinformix143474530图1.22015年数据库漏洞分布-7-©2016安华金和今年曝

4、出的76个数据库漏洞中,MySQL漏洞数占据全年漏洞总数的62%,共计47个。漏洞主要集中在5.5和5.6这两个主流版本中。安华金和数据库安全攻防实验室通过分析发现MySQL的47个漏洞散落在12个MySQL组件和一个未知组件上。众所周知MySQL是一款易拆合的轻量级数据库,因此12个组件中有很多是非必备组件。举个例子来说innoDB存在的6个漏洞,如果您的业务不需要innoDB,则建议禁止innoDB的使用。图1.1MySQL漏洞分布组件因此,安华金和数据库安全攻防实验室建议使用MySQL的公司、团体和个人及时对自己的MySQL数据库进行补丁升级。有研发能力的单位最好对MySQL源码

5、进行审计,修复其中的问题。关闭与自己业务无关的组件,编译出适合自己应用需求的定制化MySQL。同样Oracle数据库也被爆出14个漏洞,位居其次。这些漏洞集中于javavm、XDB和CoreRDBMS中。CoreRDBMS是Oracle数据库的最核心组件,在windows下以一个Oracle.exe进程出现,而Linux下则是分成多个进程,这些进程负责着不同的功能,以此保证Oracle数据库的正常运行。JavaVM是java虚拟机负责运行Oracle中的Java代码,例如Oracle图形化安装程序。XDB的漏洞往往来自于XDB,是负责处理XML的组件。XDB有2个对外端口是HTTP和F

6、TP。这2个端口经常会给数据库带来缓冲区溢出漏洞—一种无需身份验证的高危漏洞。-7-©2016安华金和图1.1Oracle漏洞分布组件不过Oracle数据库漏洞常年居高不下与其自身复杂的逻辑密不可分。图1.22015年数据库漏洞—按厂商分类2015年Oracle漏洞数占了总漏洞数的83%。这与它旗下两款数据库占据的市场份额和支持的功能复杂度有着密切关系。我们应该知道,各厂商产品的漏洞数量不仅与产品自身的安全性有关,而且也和厂商的产品数量、产品的复杂度、受研究者关注程度等多种因素有-7-©2016安华金和关。因此,我们不能简单地认为公开漏洞数量越多的厂商产品越不安全。其实Oracle无论

7、是性能还是安全性在同业者中都处于前列。2015年数据库漏洞威胁类型将漏洞按照其危害程度分为:高危漏洞,中危漏洞,低危漏洞三大类。2015年7大主流数据库中均存在高危漏洞。图1.12015年数据库漏洞—按威胁程度分类其中高危漏洞占漏洞总数的12%,中危漏洞数量最多占据了58%,低威胁漏洞占30%。-7-©2016安华金和图1.1威胁等级比例12%的高危漏洞将是安华金和关注的重点。因此建议:高危漏洞必须及时处理。在某些特定情况下低危、中危漏洞也会达

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。