23.09.2003 НовостиДеннис ФишерФирма Internet Security Systems выпустила "Каталог катастрофических рисков" (Catastrophic Risk Index, CRI), в котором собраны сведения о наиболее серьезных на сегодня дефектах безопасности - всего 31 пункт - и об атаках с их использованием.Каталог адресован администраторам вычислительных систем. Постоянно обновляемый, он должен напоминать о первоочередных вопросах обеспечения безопасности сетей. Как и следовало ожидать, все перечисленные в документе риски, за исключением двух, связаны с переполнением буфера.Это самое уязвимое место как в коммерческих, так и в свободно распространяемых с исходными текстами программных продуктах. Разнообразные подверженные переполнению буферы присутствуют практически в любых приложениях, приводя к одним и тем же последствиям: атака извне завершается несанкционированным доступом к ответственному приложению или серверу.Для включения в CRI дефект безопасности должен отвечать ряду критериев: быть достаточно распространенным, чтобы затрагивать организации различных отраслей; представлять серьезную угрозу конфиденциальности, целостности или готовности ответственных данных; создавать угрозу катастрофического отказа систем, от которых зависит функционирование бизнеса; быть привлекательным для создателей вирусов. Около трети списка приходится на свободно распространяемое в исходных текстах ПО, в том числе OpenSSL, Sendmail и Snort. Остальные места достались коммерческим программным продуктам, в большинстве своем производимым ...
читать далее.