跳转到主要内容

漏洞

本文约需 2 分钟阅读

漏洞 (Vulnerability) 是指存在于软件或系统中的安全缺陷或弱点。攻击者会利用这些漏洞进行非法访问、数据窃取、拒绝服务等攻击。漏洞由设计上的问题、实现上的程序错误、配置错误等多种原因产生。它们以 CVE (Common Vulnerabilities and Exposures) 的形式在公开数据库中管理,2024 年全年登记的新增 CVE 超过 3 万件,漏洞的发现速度正在加快。

现场使用案例

“漏洞扫描器在生产环境的 Apache 中检测到 CVSS 9.8 的漏洞。由于其严重程度可导致远程代码执行,我们已组建应对团队,要求在 24 小时内完成紧急补丁的应用。”

历史背景

漏洞管理的历史可追溯到 1988 年的莫里斯蠕虫 (Morris Worm)。这一事件促使 CERT/CC (Computer Emergency Response Team) 成立,开启了对漏洞的组织化管理。 1999 年 MITRE 创立了 CVE 制度,确立了为漏洞赋予唯一识别编号的机制。 2021 年的 Log4Shell (CVE-2021-44228) 拥有 CVSS 评分 10.0 的最高严重程度,影响了大量 Java 库,迫使全球各组织进行紧急应对。该事件再次凸显了开源软件依赖关系管理的重要性。

漏洞的分类

CVSS (Common Vulnerability Scoring System) 是以 0.0 至 10.0 的分值评估漏洞严重程度的国际标准。漏洞的种类多种多样,包括缓冲区溢出、SQL 注入XSS、权限提升等。零日漏洞是在修复补丁提供之前就被利用的特别危险的漏洞。漏洞管理书籍 (Amazon)可以更详细地学习相关内容。

作为用户的对策

一种常见的误解是“只要安装了安全软件,漏洞就不是问题”。安全软件能检测已知的恶意软件,但并不会修复漏洞本身。及时应用操作系统和应用程序的更新、修复已知漏洞才是基本对策。为防范漏洞被利用而导致密码泄露的风险,为每个服务设置各自独有的随机密码非常重要。安全运维书籍 (Amazon)也很有参考价值。

相关术语

这篇文章对您有帮助吗?

XHatena