storage软件安全吗(2022年危害最大的25种软件安全问题)
本文分享自华为云社区《CWE4.8 -- 2022年危害最大的25种软件安全问题-云社区-华为云》,作者: Uncle_Tom ,下面我们就来说一说关于storage软件安全吗?我们一起去了解并探讨一下这个问题吧!
storage软件安全吗
本文分享自华为云社区《CWE4.8 -- 2022年危害最大的25种软件安全问题-云社区-华为云》,作者: Uncle_Tom 。
CWE 4.8的变化2022年过了一半了,继《CWE 4.7中的新视图 – 工业控制系统的安全漏洞类别》 发布还不到2个月, 6月底又出了一个版本 – CWE4.8。做为软件安全研究的重要标准,我们来看下这个版本有那些变化。
从汇总表可以看出:
Weak-Base CWE-1386:Windows 连接点/挂载点上的不安全操作(Insecure Operation on Windows Junction / Mount Point)
CWE 分类: CWE-1388:物理访问问题(物理访问问题和疑虑)
查看 CWE-1387:CWE Top 25 (2022)(2022 年 CWE 前 25 大最危险软件弱点中的弱点)
下面我们来的看下具体弱点的变动。
1.1. CWE-1386:Windows 连接点/挂载点上的不安全操作这是个新增的Windows的问题,具体位置如下图:
这个新弱点被划分在CWE-664(在生命周期中对资源的控制不恰当)下CWE-706(使用不正确的解析名称或索引), 以及CWE-59(在文件访问前对链接解析不恰当(链接跟随))下的一个子弱点。
在 Windows 中,NTFS5 允许文件系统可以对对象生成重解析点(reparse points)。
Windows文件或者目录可以包含一个重解析点,它是一个用户自定义数据的集合。储存它们的程序和解析处理这些数据文件的系统过滤器能识别这些数据的格式。当一个应用程序设置了一个重解析点,它在保存数据时将添加一个唯一的重解析标签用于标示所存储的数据。当一个文件系统打开一个带重解析点的文件时,首先尝试寻找由重解析点所标识文件格式关联的文件系统过滤器,如果找到文件系统过滤器,过滤器处理重解析点数据所指示的文件。如果没有找到过滤器,那么打开文件的操作失败。
CWE-1386是由于windows打开一个文件或目录时,如果该文件或目录关联到一个目标控制范围之外的连接点或挂载点,则可能允许攻击者使软件读取、写入、删除或以其他方式对未经授权的文件进行操作。
如果一个文件被特权程序使用,它可以被一个敏感文件的硬链接替换(例如,AUTOEXEC.BAT),那么攻击者可以提升特权。当进程打开文件时,攻击者可以冒用该进程的特权,诱骗特权进程读取、修改或删除敏感文件,阻止程序准确处理数据,操作也可以指向注册表和信号量。
例如:CVE-2021-26426,特权服务允许攻击者使用目录连接删除未经授权的文件,从而导致以 SYSTEM 身份执行任意代码。
1.2. CWE-1388:物理访问问题这是个硬件设计上新增的硬件分类,具体如下图。
老样子,硬件问题不是我的专长,不做过多的解读。
2. CWE-1387:CWE前25名 (2022)距离2021年的《CWE发布2021年最危险的25种软件缺陷》差不多刚好一年。岁月如梭,光阴似箭,好快!又是一年荷花盛。
今年的排行榜
这个排名是CWE的团队,依据美国国家标准与技术研究院 (National Institute of Standards and Technology(NIST))) 的国家漏洞库(National Vulnerability Database(NVD)) 记录的披露漏洞(Common Vulnerabilities and Exposures(CVE)), 以及网络安全和基础设施安全局 (Cybersecurity and Infrastructure Security局 (CISA))的已知披露漏洞目录(已知被利用的漏洞目录(KEV)), 通过通用缺陷评分系统(COMMON漏洞评分系统 (CVSS)))对每个缺陷进行评分。排名统计了2020 到2021年的37,899 个CVE,每个CVE根据问题的发生率和严重程度的一个公式计算得分,最终得到问题的排名。
具体算法可参考 《话说CWE 4.2的新视图-云社区-华为云》。
2.1. 排名变动情况CWE-362:使用共享资源的并发执行不恰当同步问题(竞争条件): 从 33 上升到 22;
CWE-94:对生成代码的控制不恰当(代码注入): 从 28 上升到 25;
CWE-400:未加控制的资源消耗(资源穷尽): 从 27 上升到 23;
CWE-77:在命令中使用的特殊元素转义处理不恰当(命令注入)): 从25 上升到 17;
CWE-476:空指针解引用: 从 15 上升到 11。
CWE-306:关键功能的认证机制缺失: 从 11 下降到 18;
CWE-200:信息泄露: 从 20 下降到 33;
CWE-522:不充分的凭证保护机制: 从 21 下降到 38;
CWE-732:关键资源的不正确权限授予: 从 22 下降到 30。
CWE-362:使用共享资源的并发执行不恰当同步问题(竞争条件): 从 33 上升到 22;
CWE-94:对生成代码的控制不恰当(代码注入): 从 28 上升到 25;
CWE-400:未加控制的资源消耗(资源穷尽): 从 27 上升到 23;
CWE-200:信息泄露: 从 20 下降到 33;
CWE-522:不充分的凭证保护机制: 从 21 下降到 38;
CWE-732:关键资源的不正确权限授予: 从 22 下降到 30。
2.2. TOP 25的记分明细2.3. 排名统计的改进为了更好的让人们明白每一个缺陷的特性,在缺陷的映射上,尽量映射到更细力度的缺陷枚举类型上,比如base、Variant、Compound,这样有利于从更细粒度上解决问题。所以TOP 25中的CWE的类型正逐步从支柱(pillar)、类(Class) 向更细力度的缺陷枚举类型base、Variant、Compound上过度。
比如:
注:CWE的枚举类型详见:《话说CWE 4.2的新视图-云社区-华为云》。
3. 结论点击下方链接,第一时间了解华为云新鲜技术~
华为云博客_大数据博客_AI博客_云计算博客_开发者中心-华为云
免责声明:本文仅代表文章作者的个人观点,与本站无关。其原创性、真实性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容文字的真实性、完整性和原创性本站不作任何保证或承诺,请读者仅作参考,并自行核实相关内容。文章投诉邮箱:anhduc.ph@yahoo.com
