MITRE выложила список из 25 наиболее опасных софтовых уязвимостей
Главная » Новости

MITRE выложила список из 25 наиболее опасных софтовых уязвимостей

Екатерина Быстрова 30 Июня 2023 - 10:23
...
MITRE выложила список из 25 наиболее опасных софтовых уязвимостей

Организация MITRE опубликовала список из 25 наиболее опасных софтовых уязвимостей и багов, которые за последние два года докучали пользователям и компаниям по всему миру. ИБ-сообщество призывают обратить внимание на эти бреши.

MITRE добавила в список не только классические уязвимости, но и ошибки конфигурации, баги, некорректную имплементацию и т. п. Вот что пишет CISA:

«Все описанные бреши в софте приводят к серьёзным проблемам. Атакующие зачастую могут воспользоваться этими уязвимостями для получения контроля над целевой системой. С их помощью злоумышленными могут также украсть данные и вызвать сбои в работе приложений».

В процессе создания списка MITRE изучила 43 996 уязвимостей, описанных Национальным институтом стандартов и технологий США (NIST), и отталкивалась от степени опасности. Кроме того, учитывался каталог CISA Known Exploited Vulnerabilities (KEV).

«В конечном счёте мы создали формулу, которая использовалась для расчета степени опасности уязвимостей (учитывался и балл CVSS)», — объясняют в MITRE.

В списке действительно присутствуют бреши с высокой степенью риска, поскольку они затрагивают целый спектр программного обеспечения, выпущенного за последние два года. MITRE хочет, чтобы у сообщества было чёткое понимание в отношении тех или иных проблем софта. Список выглядит так:

Место Идентификатор Имя Балл Место в KEV Место ранее
1 CWE-787 Out-of-bounds Write 63.72 70 0
2 CWE-79 Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') 45.54 4 0
3 CWE-89 Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') 34.27 6 0
4 CWE-416 Use After Free 16.71 44 +3
5 CWE-78 Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') 15.65 23 +1
6 CWE-20 Improper Input Validation 15.50 35 -2
7 CWE-125 Out-of-bounds Read 14.60 2 -2
8 CWE-22 Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') 14.11 16 0
9 CWE-352 Cross-Site Request Forgery (CSRF) 11.73 0 0
10 CWE-434 Unrestricted Upload of File with Dangerous Type 10.41 5 0
11 CWE-862 Missing Authorization 6.90 0 +5
12 CWE-476 NULL Pointer Dereference 6.59 0 -1
13 CWE-287 Improper Authentication 6.39 10 +1
14 CWE-190 Integer Overflow or Wraparound 5.89 4 -1
15 CWE-502 Deserialization of Untrusted Data 5.56 14 -3
16 CWE-77 Improper Neutralization of Special Elements used in a Command ('Command Injection') 4.95 4 +1
17 CWE-119 Improper Restriction of Operations within the Bounds of a Memory Buffer 4.75 7 +2
18 CWE-798 Use of Hard-coded Credentials 4.57 2 -3
19 CWE-918 Server-Side Request Forgery (SSRF) 4.56 16 +2
20 CWE-306 Missing Authentication for Critical Function 3.78 8 -2
21 CWE-362 Concurrent Execution using Shared Resource with Improper Synchronization ('Race Condition') 3.53 8 +1
22 CWE-269 Improper Privilege Management 3.31 5 +7
23 CWE-94 Improper Control of Generation of Code ('Code Injection') 3.30 6 +2
24 CWE-863 Incorrect Authorization 3.16 0 +4
25 CWE-276 Incorrect Default Permissions 3.16 0 -5
Следующая главная новость »
AM LiveИБ без ручного режима: как автоматизировать защиту в 2026?
Регистрируйтесь на эфир!

РТК-ЦОД добавил в «Облако КИИ» размещение клиентского железа
Екатерина Быстрова 27 Мая 2026 - 09:41
Серверы и дата центры Корпорации
РТК-ЦОД добавил в «Облако КИИ» размещение клиентского железа

РТК-ЦОД расширил линейку сервисов «Облака КИИ» и запустил Unit-colocation — услугу размещения клиентского оборудования в дата-центре компании с подключением к защищённой облачной платформе.

Если проще: заказчик может поставить своё железо рядом с облачной инфраструктурой РТК-ЦОД и собрать гибридную схему без попыток скрестить всё это на изоленте и добром слове.

Оборудование размещается в монтажных шкафах в зоне внешних подключений дата-центра. Это не сам аттестованный контур «Облака КИИ», но контролируемая зона, из которой клиентское оборудование подключается к сети платформы по резервируемой и отказоустойчивой схеме.

Для подключения используются коммутаторы сетевого доступа 1 GE и оптические порты от 1 GE до 25 GE. Такой набор должен дать заказчикам больше вариантов для подключения своей инфраструктуры к «Облаку КИИ».

Сервис рассчитан на компании и организации, которым нужна гибридная архитектура: часть ресурсов остаётся на собственном оборудовании, часть работает в защищённом облаке. В первую очередь речь идёт о госсекторе, финансах, промышленности, ТЭК, здравоохранении, транспорте и операторах персональных данных.

В РТК-ЦОД отмечают, что Unit-colocation позволяет объединять «Облако КИИ», частные корпоративные сети и публичные облака в единую инфраструктуру. А для заказчиков из регулируемых отраслей это ещё и способ гибче подходить к аттестации информационных систем.

AM LiveИБ без ручного режима: как автоматизировать защиту в 2026?
Регистрируйтесь на эфир!
В России активизируют кибердружины для защиты детей в Сети
Новость
В России активизируют кибердружины для защиты детей в Сети
Атакующие взломали популярный сканер Trivy через GitHub-теги
Новость
Атакующие взломали популярный сканер Trivy через GitHub-теги
Microsoft отключит Defender для Android 10 уже 31 марта
Новость
Microsoft отключит Defender для Android 10 уже 31 марта

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2026. Все права защищены.