2015信息安全漏洞态势报告-CNNVD.pdf

信息安全漏洞态势报告 （2015 年度） 中国信息安全测评中心 二〇一六年一月 目 录 一、概述 1 二、2015 年信息安全漏洞基本情况3 2.1 漏洞数量年度统计分析 3 2.2 漏洞类型分布统计分析 4 2.3 漏洞危害等级分布统计分析 6 2.4 漏洞影响产品分布统计分析 8 三、2015 年重点厂商主要产品漏洞情况 18 3.1 Apple 公司主要产品漏洞数据分析 21 3.2 Oracle 公司主要产品漏洞数据分析 27 3.3 Microsoft 公司主要产品漏洞数据分析 33 3.4 Cisco 公司主要产品漏洞数据分析 38 3.5 Adobe 公司主要产品漏洞数据分析 44 3.6 Google 公司主要产品漏洞数据分析 47 四、2015 年开源软件重大漏洞情况50 4.1 GNU Glibc 基于堆的缓冲区溢出漏洞 50 4.2 Samba Smbd 代码注入漏洞 52 4.3 ISC BIND 拒绝服务漏洞 53 4.4 QEMU Floppy Disk Controller 缓冲区溢出漏洞 54 4.5 Linux Kernel 基于栈的缓冲区溢出漏洞 55 4.6 Ubuntu Overlayfs 组件提权漏洞 56 4.7 Android Stagefright 缓冲区溢出漏洞 57 4.8 Xen 权限许可和访问控制漏洞 58 I 4.9 Redis 未授权访问漏洞 59 4.10 Java 反序列化过程远程命令执行漏洞 60 五、2015 年信息安全漏洞管控发展情况62 5.1 美将零日漏洞技术纳入出口管控 62 5.2 漏洞相关标准体系更加完善 64 5.3 漏洞交易的市场化成为常态 68 5.4 国内厂商纷纷成立安全应急响应部门 70 六、总结与展望75 附：国家信息安全漏洞库简介76 II 信息安全漏洞态势报告（2015 年度） 信息安全漏洞态势报告 （2015 年度） 一、概述 随着网络和信息化建设的飞速发展，社交网络、移动互联网、大数据、云计 算、物联网等新技术与新应用不断涌现，网络安全和信息安全问题已成为事关国 家安全的重大问题，成为影响经济、政治、社会等诸多领域持续发展进步的关键 因素。 受限于现有计算机系统结构、产业基础、工程方法、开发周期、安全意识、 资金人力投入等诸多因素，信息技术产品及应用系统在设计、实现、部署、运行、 维护等阶段不可避免地存在各种安全缺陷，从而直接或间接地导致各种信息安全 事件的发生。信息安全漏洞主要指在信息技术、产品及系统在需求、设计、实现、 配置、维护和使用等过程中，所产生的安全缺陷。这些缺陷被利用，就会造成对 信息产品或系统的安全损害，从而影响正常服务运行，危害信息安全。 国外政府高度重视对漏洞资源的管控，通过建立完善的国家漏洞管理体系， 将漏洞资源纳入国家管控机制。2006 年，美国政府在 ICAT Metabase （ ）的基础上建立了美国国家漏洞库 （National Vulnerability Database，NVD），由国土安全部（Department of Homeland Security，DHS） 研究部署并提供建设资金，由美国国家标准与技术研究院（National Institute of Standards and Technology，NIST）负责技术开发和运维管理。2015 年5 月， 美国商务部工业与安全局公布了“瓦森纳协定”的一份补充协定，把黑客技术放 入全球武器贸易条约出口限制的范围内，限制零日漏洞及其相关产品流出美国。