Загрози та вразливості GNU / Linux: Знай свого ворога!

Є цитата з Сунь-Цзи (Gгенерал, військовий стратег і філософ Стародавнього Китаю) що він говорить: "Якщо ви знаєте ворога і знаєте себе, то не варто боятися результату сотень битв. Якщо ви знаєте себе, але не ворога, за кожну перемогу, яку ви здобудете, ви також зазнаєте поразки. Якщо ти не знаєш ні ворога, ні себе, ти піддаватимешся у кожному бою ».

З цієї фрази можна зробити висновок, що знання наших слабкостей і слабкості наших противників безпечно приведуть нас до перемога чи поразка. І екстраполюючи це на Обчислення, GNU / Linux, нинішні хакерські групи і комп'ютерні атаки, для нас більш ніж зрозуміло, що ми повинні детально знати і наше Безкоштовні та відкриті операційні системи наприклад, уразливості, які можуть бути використані третіми сторонами для того, щоб зменшити ризики таких атак.

І оскільки ми нещодавно зробили запис, пов’язаний з тією ж темою, що і ІТ-безпека і Кібербезпека на GNU / Linux, ми рекомендуємо вивчити його. І для цього ми негайно залишимо посилання нижче, щоб з ним можна було легко ознайомитися в кінці цієї публікації:

«« Атаку APT »або розширену стійку загрозу можна описати якn організована і складна атака, спрямована на отримання тривалого доступу до комп'ютерної системи стороннім особою або групою. Причина, чому його основною метою зазвичай є масове крадіжка даних або нагляд (моніторинг) діяльності атакованої комп’ютерної мережі." APT Attack: Додаткові постійні загрози можуть вплинути на Linux?

Пов'язана стаття:

APT Attack: Додаткові постійні загрози можуть вплинути на Linux?

Пов'язана стаття:

Поради щодо ІТ-безпеки для всіх у будь-який час і в будь-якому місці

Пов'язана стаття:

Віруси в GNU / Linux: факт чи міф?

Найпопулярніші загрози та уразливості 2021 року для GNU / Linux

Про загрози та комп’ютерні уразливості

Перш ніж повністю увійти в Комп'ютерні загрози та вразливості представлено з рік 2021 пункт GNU / Linux, ми коротко дамо зрозуміти, що вони однакові і чим вони відрізняються. І для цього ми наведемо пояснення Національний інститут кібербезпеки (INCIBE) з Іспанії:

• Una уразливість (в обчислювальному відношенні) - це слабкість або збій в інформаційній системі, що ставить під загрозу безпеку інформації і може дозволити зловмиснику поставити під загрозу її цілісність, доступність або конфіденційність, тому необхідно знайти та усунути їх якомога швидше . Ці "діри" можуть мати різне походження, наприклад: недоліки проектування, помилки конфігурації або відсутність процедур.
• Зі свого боку, а загроза Будь -яка дія, яка використовує вразливість для підриву безпеки інформаційної системи. Іншими словами, це може мати потенційно негативний вплив на деякі елементи наших систем. Загрози можуть походити від атак (шахрайство, крадіжка, віруси), фізичних подій (пожежа, повінь) або недбалості та прийняття інституційних рішень (погане управління паролями, не використання шифрування). З точки зору організації, вони можуть бути як внутрішніми, так і зовнішніми.

"Тому вразливі місця - це умови та характеристики систем організації, які роблять її сприйнятливою до загроз. Проблема в тому, що в реальному світі, якщо є вразливість, завжди знайдеться хтось, хто спробує використати її, тобто скористатися її існуванням." Загроза проти вразливості, чи знаєте ви, чим вони відрізняються?

Звіт про загрози Trend Micro Linux 2021-1H

Тепер, повністю переходячи до розглянутої теми, варто виділити те, що висловила названа організація Компанія Trend Micro у вашому поточному Звіт про загрози Linux 2021-1Н:

"Багато хто вважає Linux унікальною операційною системою за її стабільність, гнучкість та відкритість. Його зоряна репутація підтверджується численними помітними досягненнями за останні роки.

Наприклад, 100% провідних 500 суперкомп’ютерів у світі працюють під управлінням Linux, а 50,5% з 1.000 найкращих у світі веб -сайтів користуються ним, згідно з опитуванням W3Techs. Linux домінує в хмарі, і в 90 році він працює на 2017% загальнодоступних хмарних навантажень. Linux також має унікальну підтримку найвищих цінових / продуктивних хмарних навантажень за допомогою процесорів Advanced RISC Machines (ARM), таких як AWS Graviton.

Більш того, він працює на 96,3% провідних XNUMX мільйонів веб-серверів у світі, Linux також працює на розумних годинниках, швидкісних поїздах і навіть на найкращих у світі космічних програмах. Linux потужний, універсальний і надійний, але він не позбавлений недоліків; як і інші операційні системи, він залишається сприйнятливим до атак."

Топ -15: уразливості для злому операційних систем Linux

І згідно зі звітом зазначеної компанії, це 15 основних вразливих місць з якими ми можемо зіткнутися щодо течії Операційні системи GNU / Linux Інтернет:

CVE-2017-5638

• опис: Вразливість у паркарі Japart з багатосторонньої роботи в Apache Struts
• Оцінка CVSS: 10.0 - критичний / високий
• Деталі: Англійською мовою / En Español

CVE-2017-9805

• опис: Уразливість у плагіні REST в Apache
• Оцінка CVSS: 8.1 - Високий / Середній
• Деталі: Англійською мовою / En Español

CVE-2018-7600

• опис: Вразливість у Drupal
• Оцінка CVSS: 9.8 - критичний / високий
• Деталі: Англійською мовою / En Español

CVE-2020-14750

• опис: Уразливість у продукті Oracle WebLogic Server від Oracle Fusion Middleware
• Оцінка CVSS: 9.8 Критичний / Високий
• Деталі: Англійською мовою / En Español

CVE-2020-25213

• опис: Уразливість у плагіні WordPress File Manager (wp-file-manager)
• Оцінка CVSS: 9.8 Критичний / Високий
• Деталі: Англійською мовою / En Español

CVE-2020-17496

• опис: Уразливість у даних підвіджетів у запиті ajax у vBulletin
• Оцінка CVSS: 9.8 Критичний / Високий
• Деталі: Англійською мовою / En Español

CVE-2020-11651

• опис: Вразливість при встановленні колекції анзиблі-галактики в двигуні ansible
• Оцінка CVSS: 9.8 Критичний / Високий
• Деталі: Англійською мовою / En Español

CVE-2017-12611

• опис: Уразливість в Apache Struts у версіях 2.0.0 / 2.3.33 та версіях 2.5 / 2.5.10.1
• Оцінка CVSS: 9.8 Критичний / Високий
• Деталі: Англійською мовою / En Español

CVE-2017-7657

• опис: Уразливість у Eclipse Jetty, у версіях 9.2.x та попередніх, версії 9.3.x / 9.4.x
• Оцінка CVSS: 9.8 Критичний / Високий
• Деталі: Англійською мовою / En Español

CVE-2021-29441

• опис: Вразливість при автентифікації (-Dnacos.core.auth.enabled = true) у Nacos
• Оцінка CVSS: 9.8 Критичний / Високий
• Деталі: Англійською мовою / En Español

CVE-2020-14179

• опис: Вразливість щодо розкриття інформації в Атласійській Джирі
• Оцінка CVSS: 5.3 - Середнє
• Деталі: Англійською мовою / En Español

CVE-2013-4547

• опис: Уразливість при обробці рядків URI Nginx та обмеження доступу
• Оцінка CVSS: 7.5 - Високий
• Деталі: Англійською мовою / En Español

CVE-2019-0230

• опис: Вразливість при оцінці OGNL в атрибутах тегів Apache Struts
• Оцінка CVSS: 9.8 Критичний / Високий
• Деталі: Англійською мовою / En Español

CVE-2018-11776

• опис: Уразливість RCE у виразі OGNL Apache Struts
• Оцінка CVSS: 8.1 - Високий
• Деталі: Англійською мовою / En Español

CVE-2020-7961

• опис: Недовірена вразливість десеріалізації порталу Liferay
• Оцінка CVSS: 9.8 Критичний / Високий
• Деталі: Англійською мовою / En Español

Докладніше про інші вразливі місця

Для отримання додаткової інформації про інші вразливості ви можете безпосередньо отримати доступ до таких посилань на бази даних уразливостей:

1. Національна база даних про вразливість (США)
2. Національна база даних про вразливість (Іспанія)
3. Глобальна база вразливостей (Світ)
4. Енциклопедія Trend Micro Attack

Резюме

Коротко, "Загрози та вразливості" Сьогодні вони стають все більш частими атаками, і тому ні в чому не варто шкодувати виконання будь -яких заходів безпеки на GNU / Linux та інше Операційні системи, щоб їх уникнути або пом'якшити. І в цьому напрямку важливо глибоко знати все минулі та поточні вразливостіта ті, які можуть виникати щодня, щоб якомога швидше внести необхідні виправлення.

Ми сподіваємось, що ця публікація буде дуже корисною для всього «Comunidad de Software Libre y Código Abierto» і великий внесок у вдосконалення, зростання та розповсюдження екосистеми програм, доступних для «GNU/Linux». І не припиняйте ділитися ними з іншими, на своїх улюблених веб-сайтах, каналах, групах або спільнотах соціальних мереж або систем обміну повідомленнями. Нарешті, відвідайте нашу домашню сторінку за адресою «DesdeLinux» щоб вивчити більше новин та приєднатися до нашого офіційного каналу Телеграма о DesdeLinux.