- 13,850
- 20
- 8 Ноя 2022
Правительство США опубликовало список 25 слабых мест ПО, которые приводят к катастрофическим последствиям.
Правительство США составило рейтинг самых распространенных и значимых слабых мест программного обеспечения, которые приводят к опасным уязвимостям в системах и приложениях.
Список Для просмотра ссылки Войдиили Зарегистрируйся был подготовлен специалистами Института HSSEDI (Homeland Security Systems Engineering and Development Institute), работающего под эгидой Министерства внутренней безопасности и некоммерческой организации MITRE.
CWE (Common Weakness Enumeration) — это стандарт, который описывает типы уязвимостей ПО, таких как ошибки, баги, недостатки и другие. CWE отличается от CVE (Common Vulnerabilities and Exposures), который присваивает номер каждой конкретной уязвимости, обнаруженной в программном обеспечении.
Список CWE Top 25 рассчитывается путем анализа публичных данных об уязвимостях в Национальной базе данных уязвимостей ( Для просмотра ссылки Войдиили Зарегистрируйся ) за последние 2 календарных года. Также учитываются данные об уязвимостях, которые эксплуатировались злоумышленниками в реальных атаках, согласно Каталогу известных эксплуатируемых уязвимостей CISA ( Для просмотра ссылки Войди или Зарегистрируйся ).
Агентство по кибербезопасности и защите инфраструктуры США (Cybersecurity and Infrastructure Security Agency, CISA) рекомендует разработчикам и командам по безопасности продуктов ознакомиться со списком CWE Top 25 и принять необходимые меры для предотвращения или снижения риска возникновения уязвимостей. Агентство также планирует опубликовать дополнительные статьи, посвященные методологии расчета рейтинга, тенденциям в отображении уязвимостей и другим полезным темам.
Американские агентства по кибербезопасности CISA и NSA Для просмотра ссылки Войдиили Зарегистрируйся , что контроллеры управления базовой платой (BMC) — это слабое звено в системах критической инфраструктуры, которое может быть использовано злоумышленниками для получения доступа к сетям и данным.
BMC делает возможным удалённое управление и контроль компьютерами и серверами даже при выключенной системе. Однако из-за их высокого уровня привилегий и доступности из сети — эти устройства часто привлекают внимание злоумышленников, которые могут использовать их в качестве точки входа для различных кибератак.
Напомним, что популярный репозиторий для разработчиков NPM Для просмотра ссылки Войдиили Зарегистрируйся , называемой «путаница в манифестах» (Manifest Confusion), которая подрывает доверие к пакетам и даёт возможность злоумышленникам прятать вредоносный код в зависимостях или выполнять злонамеренные скрипты при установке пакетов.
Правительство США составило рейтинг самых распространенных и значимых слабых мест программного обеспечения, которые приводят к опасным уязвимостям в системах и приложениях.
Список Для просмотра ссылки Войди
CWE (Common Weakness Enumeration) — это стандарт, который описывает типы уязвимостей ПО, таких как ошибки, баги, недостатки и другие. CWE отличается от CVE (Common Vulnerabilities and Exposures), который присваивает номер каждой конкретной уязвимости, обнаруженной в программном обеспечении.
Список CWE Top 25 рассчитывается путем анализа публичных данных об уязвимостях в Национальной базе данных уязвимостей ( Для просмотра ссылки Войди
- Во главе рейтинга – запись за пределами границ , которая может привести к переполнению буфера и исполнению произвольного кода.
- На втором месте – межсайтовый скриптинг ( XSS ), который позволяет внедрять злонамеренный код на веб-страницы и похищать данные пользователей.
- На третьем месте – SQL-инъекция , которая дает возможность выполнять произвольные запросы к базам данных и получать доступ к конфиденциальной информации.
Агентство по кибербезопасности и защите инфраструктуры США (Cybersecurity and Infrastructure Security Agency, CISA) рекомендует разработчикам и командам по безопасности продуктов ознакомиться со списком CWE Top 25 и принять необходимые меры для предотвращения или снижения риска возникновения уязвимостей. Агентство также планирует опубликовать дополнительные статьи, посвященные методологии расчета рейтинга, тенденциям в отображении уязвимостей и другим полезным темам.
Американские агентства по кибербезопасности CISA и NSA Для просмотра ссылки Войди
BMC делает возможным удалённое управление и контроль компьютерами и серверами даже при выключенной системе. Однако из-за их высокого уровня привилегий и доступности из сети — эти устройства часто привлекают внимание злоумышленников, которые могут использовать их в качестве точки входа для различных кибератак.
Напомним, что популярный репозиторий для разработчиков NPM Для просмотра ссылки Войди
- Источник новости
- www.securitylab.ru
