信息安全漏洞态势报告2015年度资料.pdf

信息安全漏洞信息安全漏洞态势态势报告报告 （（2015 年度）年度） 中国中国信息安全信息安全测评中心测评中心 二〇一二〇一六六年年一一月月 （本页为空白页） I 目目 录录 一、概述 1 二、2015 年信息安全漏洞基本情况 3 2.1 漏洞数量年度统计分析 3 2.2 漏洞类型分布统计分析 4 2.3 漏洞危害等级分布统计分析 6 2.4 漏洞影响产品分布统计分析 8 三、2015 年重点厂商主要产品漏洞情况 . 18 3.1 Apple 公司主要产品漏洞数据分析 . 21 3.2 Oracle 公司主要产品漏洞数据分析 . 27 3.3 Microsoft 公司主要产品漏洞数据分析 . 33 3.4 Cisco 公司主要产品漏洞数据分析 38 3.5 Adobe 公司主要产品漏洞数据分析. 44 3.6 Google 公司主要产品漏洞数据分析 . 47 四、2015 年开源软件重大漏洞情况 . 50 4.1 GNU Glibc 基于堆的缓冲区溢出漏洞 . 50 4.2 Samba Smbd 代码注入漏洞 52 4.3 ISC BIND 拒绝服务漏洞 53 4.4 QEMU Floppy Disk Controller 缓冲区溢出漏洞 54 4.5 Linux Kernel 基于栈的缓冲区溢出漏洞 55 4.6 Ubuntu Overlayfs 组件提权漏洞 56 4.7 Android Stagefright 缓冲区溢出漏洞 . 57 4.8 Xen 权限许可和访问控制漏洞. 58 II 4.9 Redis 未授权访问漏洞 59 4.10 Java 反序列化过程远程命令执行漏洞 . 60 五、2015 年信息安全漏洞管控发展情况 . 62 5.1 美将零日漏洞技术纳入出口管控 62 5.2 漏洞相关标准体系更加完善 64 5.3 漏洞交易的市场化成为常态 68 5.4 国内厂商纷纷成立安全应急响应部门 70 六、总结与展望 . 75 附：国家信息安全漏洞库简介 . 76 信息安全漏洞态势报告（2015 年度） 第 1 1 页 信息安全漏洞信息安全漏洞态势态势报告报告（（20152015 年度）年度） 一、概述一、概述 随着网络和信息化建设的飞速发展，社交网络、移动互联网、大数据、云计 算、 物联网等新技术与新应用不断涌现，网络安全和信息安全问题已成为事关国 家安全的重大问题，成为影响经济、政治、社会等诸多领域持续发展进步的关键 因素。

受限于现有计算机系统结构、产业基础、工程方法、开发周期、安全意识、 资金人力投入等诸多因素， 信息技术产品及应用系统在设计、 实现、 部署、 运行、 维护等阶段不可避免地存在各种安全缺陷， 从而直接或间接地导致各种信息安全 事件的发生 信息安全漏洞主要指在信息技术、 产品及系统在需求、 设计、 实现、 配置、维护和使用等过程中，所产生的安全缺陷这些缺陷被利用，就会造成对 信息产品或系统的安全损害，从而影响正常服务运行，危害信息安全 国外政府高度重视对漏洞资源的管控，通过建立完善的国家漏洞管理体系， 将漏洞资源纳入国家管控机制2006 年，美国政府在 ICAT Metabase （http://icat.nist.org）的基础上建立了美国国家漏洞库（National Vulnerability Database，NVD），由国土安全部（Department of Homeland Security，DHS） 研究部署并提供建设资金，由美国国家标准与技术研究院（National Institute of Standards and Technology，NIST）负责技术开发和运维管理。

2015 年 5 月， 美国商务部工业与安全局公布了“瓦森纳协定”的一份补充协定，把黑客技术放 入全球武器贸易条约出口限制的范围内，限制零日漏洞及其相关产品流出美国 中国政府高度重视网络和信息安全问题， 重视对信息安全漏洞的管控 2007 年， 中国信息安全测评中心负责建设运维国家级漏洞资源管理平台“国家信息安 信息安全漏洞态势报告（2015 年度） 第 2 2 页 全漏洞库”（China National Vulnerability Database of Information Security， CNNVD）2009 年 10 月 18 日，国家信息安全漏洞库网站正式上线运行，对 外提供漏洞分析、通报服务经过多年发展建设，CNNVD 通过社会提交、协作 共享、网络搜集以及技术检测等方式，已积累信息技术产品漏洞 8 万余条，信息 系统相关漏洞 4 万余条，相关补丁和修复措施 2 万余条，初步形成了信息安全 漏洞的资源汇聚和处置管理能力 鉴于信息安全漏洞重要性逐渐增强及其威胁程度日益提升，CNNVD 基于已 收录的信息安全漏洞情况，对 2015 年度信息安全漏洞数据进行统计分析，总结 漏洞分布特点，形成了 2015 年度信息安全漏洞态势报告。

本报告主要包括六部分内容第一部分为概述第二部分主要针对 CNNVD 收录漏洞情况，从数量增长、类型分布、危害等级、影响产品等方面进行了统计 分析第三部分列举 2015 年全年漏洞数量统计排名靠前的重要厂商，对其主要 产品的漏洞分布情况和发展趋势进行了对比分析第四部分对 2015 年漏洞问题 较为突出的开源软件进行梳理和分析，筛选出危害级别较高、影响范围较广的十 大漏洞第五部分针对国外漏洞管理法律法规、漏洞相关标准规范发展、漏洞交 易市场化及国内安全响应机构情况进行了分析总结 第六部分为总结和对未来发 展的展望 信息安全漏洞态势报告（2015 年度） 第 3 3 页 二、二、20152015 年信息安全漏洞基本情况年信息安全漏洞基本情况 根据 CNNVD 统计，截至 2015 年 12 月 31 日，CNNVD 收录漏洞总量已达 80300 个，其中 2015 年新增漏洞 7754 个，与 2014 年漏洞新增的 8623 个相比 有所下降，降幅为 10.08%从漏洞类型来看，2015 年缓冲区溢出类的漏洞占 比最大，达到 14.03%从危害级别来看，2015 年新增危急漏洞 608 个、高危 漏洞 1782 个、中危漏洞 4588 个、低危漏洞 776 个，其中 6659 个漏洞已发布 修复补丁， 整体修复率为85.88%， 四种危害级别漏洞对应修复率分别为91.28%、 92.48%、82.52%以及 86.34%。

2.1 2.1 漏洞数量年度统计分析漏洞数量年度统计分析 信息安全漏洞主要分为硬件漏洞和软件漏洞， 其中软件漏洞又分为操作系统 漏洞和应用软件漏洞 如图 1 所示， 2015 年新增漏洞绝大多数为应用软件漏洞， 达 5142 个，其次为操作系统漏洞，共 1788 个，而硬件设备漏洞数量仅为 65 个，由此可见应用软件漏洞仍是漏洞挖掘和分析的热点 图 1 2015 年新增漏洞分布 5142 1788 759 65 0 1000 2000 3000 4000 5000 6000 应用软件 操作系统 其它 硬件 信息安全漏洞态势报告（2015 年度） 第 4 4 页 如图 2 所示， 自 2010 年来以来， 新增漏洞数量呈现整体增加的趋势， 从 2010 年的 4636 个，至 2015 年 7754 个，年均增加漏洞 6781 个，自 2012 年起，均 维持在每年 7000 个以上，有 3 个年度漏洞数增幅量达到 20%其中 2014 年的 新增漏洞数量有较大增幅，这是因为 2014 年 9 月至 10 月，“Google Play”应 用商店上近1400 款 Android 应用程序被发现存在漏洞。

这些漏洞是由于 Android 应用程序开发人员在编码时未能正确实现对服务器端证书认证的功能而导致的， 该系列漏洞由卡内基梅隆大学计算机应急响应小组发现并发布 图 2 2010 年至 2015 年漏洞新增数量统计 2.2 2.2 漏洞类型分布统计分析漏洞类型分布统计分析 2015 年新增漏洞中，缓冲区溢出类漏洞数量最多，达 1088 个，占比高达 14.03%，与 2014 年该类型漏洞数量 787 个相比，增加了 38.25%缓冲区溢出 漏洞是出现非常频繁、且可能会带来严重后果的漏洞，利用缓冲区溢出漏洞，可 以进行摧毁堆栈、上传木马、执行任意代码等多种形式的攻击，漏洞数量多、危 害级别高，如何防范缓冲区溢出漏洞成为漏洞分析技术研究的热点问题漏洞类 型统计如表 1 所示 4636 5355 7197 7125 8623 7754 0 1000 2000 3000 4000 5000 6000 7000 8000 9000 10000 2010年 2011年 2012年 2013年 2014年 2015年 年度新增漏洞数量 信息安全漏洞态势报告（2015 年度） 第 5 5 页 表 1 2015 年漏洞类型统计表 序号序号 漏洞类型漏洞类型 漏洞数量漏洞数量 所占比例所占比例 1 1 缓冲区溢出 1088 14.03% 2 2 跨站脚本 817 10.54% 3 3 权限许可和访问控制 812 10.47% 4 4 信息泄露 712 9.18% 5 5 输入验证 531 6.85% 6 6 资源管理错误 395 5.09% 7 7 代码注入 271 3.49% 8 8 SQL 注入 268 3.46% 9 9 跨站请求伪造 267 3.44% 1010 路径遍历 163 2.10% 1111 数字错误 151 1.95% 1212 加密问题 104 1.34% 1313 信任管理 68 0.88% 1414 授权问题 52 0.67% 1515 操作系统命令注入 51 0.66% 1616 竞争条件 51 0.66% 1717 后置链接 23 0.30% 如图 3 所示， 除漏洞数量最多的缓冲区溢出和跨站脚本类型外， 权限许可和 访问控制类型的漏洞数量也呈现出上升趋势。

访问控制技术是实现 Web 应用系 统安全目标的一个重要技术措施， 安全研究人员对于权限管理的重视程度逐步加 深，权限许可与访问控制类漏洞数量也在持续增多 信息安全漏洞态势报告（2015 年度） 第 6 6 页 图 3 2010 年至 2015 年主要漏洞类型数量统计 2.3 2.3 漏洞危害等级分布统计分析漏洞危害等级分布统计分析 根据漏洞的影响范围、利用方式、攻击后果等情况，可将其分为四个危害等 级，即危急、高危、中危和低危级别2015 年漏洞危害等级分布如图 4 所示， 近 6 年的漏洞危害等级分布如图 5 所示 根据 CNNVD 统计数据， 四类漏洞中， 以中危级别的漏洞数量居多，每年均占漏洞总量的一半以上近年来，危害程度 较高的危急和高危漏洞也开始呈现缓慢上升的趋势， 2015 年数量超过 2000 个， 占漏洞总量的 30.82%，比 2014 年增加近 300 个，占比增加 9.62%漏洞被恶 意攻击者利用，会对系统的正常运行造成破坏，进而影响业务工作，用户应当随 时关注漏洞发布情况，及时采取打补丁、更新软件版本等消控措施，修复漏洞， 0 100 200 300 400 500 600 700 800 900 1000 1100 2010年 2011年 2012年 2013年 2014年 2015年 缓冲区溢出 跨站脚本 权限许可和访问控制 信息泄露 输入验证 资源管理错误 代码注入 SQL注入 跨站请求伪造 路径遍历 数字错误 信息安全漏洞态势报告（2015 年度） 第 7 7 页 降低危害。

同时，危害程度较高漏洞的占比逐渐上升也表明当前的信息安全形势 仍然十分严峻，安全威胁不容轻视 图 4 2015 年漏洞危害等级分布 图 5 2010 年至 2015 年漏洞危害等级分布 0 1000 2000 3000 4000 500。