Debian Linux 在過(guò)去20年漏洞太多

安全網(wǎng)站TheBestVPN于3月6日發(fā)布了一份研究報(bào)告，該報(bào)告顯示Debian Linux成為過(guò)去20年中漏洞最多的操作系統(tǒng)。 在過(guò)去的20年中，Microsoft積累了6,814個(gè)技術(shù)漏洞，遠(yuǎn)高于其他技術(shù)公司的漏洞。 從1999年到2019年，安全漏洞的數(shù)量幾乎增加了五倍，從894個(gè)增加到12,174個(gè)。據(jù)悉，此報(bào)告的數(shù)據(jù)來(lái)自美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究院(NIST)的國(guó)家漏洞數(shù)據(jù)庫(kù)。

據(jù)數(shù)據(jù)顯示，從 1999 年到 2019 年，Debian Linux 的累計(jì)漏洞數(shù)為 3067，排名第一。Android 排名第二，它累計(jì)有 2563 個(gè)漏洞。Linux kernel 則排名第三，累計(jì)漏洞數(shù)為 2357。

而 Mac OS X 則以 2212 個(gè)漏洞排名第四。作為 Windows 平臺(tái)排名最前者，Windows Server 2008 以 1421 個(gè)漏洞排名第 9。

眾所周知，Linux 有很多發(fā)行版，主要分為由商業(yè)公司維護(hù)的商業(yè)版和開(kāi)源社區(qū)維護(hù)的免費(fèi)發(fā)行版，分別以 Redhat 和 Debian 為代表。Debian Linux 系統(tǒng)基礎(chǔ)核心小，不僅穩(wěn)定，而且占用內(nèi)存小。由于其優(yōu)秀的表現(xiàn)和穩(wěn)定性，Debian 受到 VPS 用戶的歡迎。

針對(duì) Debian Linux 的漏洞，TheBestVPN 表示，“作為一款免費(fèi)易上手的操作系統(tǒng)，Debian Linux 最近 20 年累計(jì)有 3067 個(gè)安全漏洞。不過(guò)，面對(duì)這些漏洞，Debian Linux 社區(qū)并非無(wú)動(dòng)于衷。根據(jù)其官網(wǎng)披露，社區(qū)非?！?fù)責(zé)’，他們一般會(huì)在漏洞被曝光的幾天內(nèi)就修復(fù)它?！?

如果聚焦2019 年，我們發(fā)現(xiàn) Android 以 414 個(gè)漏洞排名第一，而 Debian Linux 排名第二，它有 360 個(gè)漏洞。

從第三名到第五名，全被微軟囊括，依次是 Windows Server 2016(357 個(gè)漏洞)、Windows 10(357)和 Windows Server 2019(351)。

“根據(jù)我們的分析表明，Debian Linux 可能是問(wèn)題最多的操作系統(tǒng)。但在 2019 年，Android 的漏洞數(shù)量比 Debian Linux 多 54 個(gè)?！薄盩heBestVPN 在報(bào)告中寫(xiě)道，“Android 漏洞之所以如此多，是因?yàn)?Android 手機(jī)中有大量預(yù)裝的第三方應(yīng)用，它們可能存在一些問(wèn)題。”

巨頭漏洞多，微軟“霸榜”

TheBestVPN 稱(chēng)“最近 20 年，商業(yè)變得越來(lái)越依賴(lài)新要素、新技術(shù)，比如數(shù)據(jù)、云計(jì)算和移動(dòng)互聯(lián)網(wǎng)等，這也導(dǎo)致企業(yè)面臨更多的網(wǎng)絡(luò)攻擊?！?

從廠商角度看，作為全球最成功的科技公司之一，微軟產(chǎn)品“樹(shù)大招風(fēng)”，從 1999 年到 2019 年，微軟累計(jì)被曝出 6814 個(gè)技術(shù)漏洞，排名第一。同時(shí)，這也讓它成為最容易被攻擊者盯上的供應(yīng)商。

在微軟之后，排名第二的是甲骨文，20 年累計(jì)有 6115 個(gè)漏洞。

第三到第五名依次是 IBM、谷歌、蘋(píng)果，相對(duì)應(yīng)的漏洞數(shù)為 4679、4572、4512。

如果只看 2019 年，微軟以 668 個(gè)漏洞遠(yuǎn)超其他公司，牢牢占據(jù)排行榜第一。其次是谷歌(609)、甲骨文(489)和 Adobe(441)以及思科(440)。

20 年，漏洞數(shù)量增長(zhǎng)近 14 倍

根據(jù)數(shù)據(jù)表明，1999 年只有 894 個(gè)技術(shù)漏洞，20 年后，漏洞數(shù)量高達(dá) 12174，增長(zhǎng)近 14 倍。

據(jù)悉，2018 年的漏洞數(shù)量最多，高達(dá) 16556，平均每天有近 45 個(gè)漏洞。這一年，免費(fèi)的開(kāi)源操作系統(tǒng) Debian GNU/Linux 曝出 1197 個(gè)漏洞，堪稱(chēng) 2018 年最易遭受攻擊的產(chǎn)品。

基于這些數(shù)據(jù)，我們得知：Android 在 2016 年、2017 年和 2019 年的漏洞數(shù)量最多，均為當(dāng)年“榜首”。與之相比，蘋(píng)果的 iOS 一次未上榜。這也從側(cè)面印證了 iOS 比 Android 相對(duì)更安全。

此外，谷歌 Chrome 瀏覽器連續(xù)三年(2010、2011 和 2012)成為漏洞最多的產(chǎn)品。而在編程語(yǔ)言中，PHP 在 2007 年以 114 個(gè)漏洞排名第一。

DoSS 攻擊“不可怕”，代碼執(zhí)行需警惕

根據(jù) TheBestVPN 的研究，這些漏洞可被分成 13 種，包括代碼執(zhí)行、DoSS 攻擊、緩沖區(qū)溢出、跨站腳本攻擊等。

在 2019 年的漏洞類(lèi)別中，有超過(guò)四分之一的漏洞屬于代碼執(zhí)行，它以 25.3% 的占比排名第一。CSS(跨站腳本攻擊)排名第二，占比 17.7%。而 DDoS 攻擊只占 10%，排名第四。

值得注意的是，代碼執(zhí)行也是 2018 年漏洞最多的類(lèi)別，有 3041 個(gè)安全漏洞。

2019 年，第三到第五名的漏洞類(lèi)別分別是緩沖區(qū)溢出、DoSS 和 Gain Information，相對(duì)應(yīng)的占比為 13.9%、10.2%、10%。

你應(yīng)該擔(dān)心啥?

CVSS 是一套通用漏洞評(píng)分系統(tǒng)，評(píng)分從 0 到 10，評(píng)分越高，標(biāo)志著漏洞危害和影響越大。通過(guò) CVSS，我們可以簡(jiǎn)要了解從 1999 年到 2019 年包含漏洞的產(chǎn)品所帶來(lái)的安全風(fēng)險(xiǎn)。

最近 20 年，在漏洞最嚴(yán)重的 TOP 50 產(chǎn)品中，Adobe Flash Player 得分最高，為 9.4。這意味著，這個(gè)應(yīng)用中被發(fā)現(xiàn)的 bug 可能帶來(lái)很?chē)?yán)重的問(wèn)題，比如數(shù)據(jù)泄露等。

第二名到第五名依次是 Adobe Acrobat(9.2)、微軟 Office(9.1)、Adobe Acrobat Reader(8.9)和 Internet Explorer(8.6)。在 TOP 15 中，蘋(píng)果的 watchOS 和 iTunes 評(píng)分最低，分別為 7.4、7.5，這意味著相對(duì)而言，其漏洞危害較小。