Dette er de verste sårbarhetene i Windows og Unix

SANS Institute og FBI har laget en oversikt over de verste sårbarhetene i Windows og Unix, med detaljerte instrukser om hvordan de skal tettes.

Oversikten og instruksjonene er tilgjengelige fra denne lenken: SANS/FBI Top Twenty List. SANS Institute publiserte sin første ti-på-topp-liste over sårbarheter på serversiden for to år siden, og har nå gjort det til en årlig tradisjon. I tillegg er det varslet en ukentlig oversikt over de nyeste farene.

Årets liste omfatter de ti sårbarhetsområdene i både Windows og Unix, i prioritert rekkefølge, som det er mest om å gjøre å få tettet. For hver er det detaljerte beskrivelser og instrukser, med både henvisninger til og vurderinger av leverandørens egne opplegg for fiks.

Listen er altså ikke ordnet etter spesifikk sårbarhet, men etter område som skal fikses. Øverst på Windows-listen er webserveren Internet Information Services (IIS). SANS/FBI forklarer at sikkerhetshullene i IIS fordeler seg på tre felter: manglende evne til å håndtere uforutsette forespørsler, oversømmede buffere, og såkalte "sample applications", det vil si applikasjoner som følger med IIS som eksempler på hva IIS kan brukes til, men som ikke er ment å settes i produksjon og følgelig ikke er utstyrt med de nødvendige sikkerhetssperrene.

De to neste på Windows-listen er henholdsvis Microsoft Data Access Components og SQL Server.

De tre øverste på Unix-listen er fjerne kall på prosedyrer ("remote procedure calls" eller RPC), webserveren til Apache og SSH (Secure Shell). SANS og FBI mener systemadministratorers manglende oppfølging av fikser til RPC-tjenester er grunnlaget for de verste innbruddene i Unix-systemer de siste årene. Om Apache heter det at selv om denne webserveren kan betraktes som sikrere enn IIS, er den slettes ikke usårlig. SSH er en sikkerhetstjeneste som har vært rammet av flere alvorlige feil.

Til toppen