1. CWE 4.12发布
最近几年,每年6月CWE发布的版本都成为一年中最重要的版本,因为里面包含了新的CWE TOP 25 视图,也就是我们常说的:CWE最具威胁的25种缺陷。
CWE 4.12 在6月29号发布,里面包含了重要的2023年TOP25视图: CWE-1425。同时这次的TOP 25还包括从美国网络安全和基础设施安全局(Cybersecurity and Infrastructure Security Agency’s (CISA))已知被利用漏洞(Known Exploited Vulnerabilities (KEV)) 目录中观察到的示例,以显示与现实世界漏洞的相关性。
另一个重要的变动是在所有 CWE 条目中添加了一个新的节点 - 漏洞映射说明(Mapping_Notes)。这些说明将使用户能够更准确地将漏洞(例如 CVE)映射到其根本原因弱点。以前,映射注释仅在“注释”部分中可用于少数 CWE 条目。为此新版本的CWE,将原有的xml的schema从6.9升级到7.0, 用于完善这个节点的定义。
2. CWE新的节点 – 漏洞映射说明(Mapping_Notes)
我们从cwe_schema_v7.0.xsd中可以看到,新增加的节点"Mapping_Notes"的定义类型为:“cwe:MappingNotesType”。
<xs:element name="Mapping_Notes" type="cwe:MappingNotesType" minOccurs="0" maxOccurs="1"/>
再看"MappingNotesType"的具体定义为:
<xs:complexType name="MappingNotesType">
<xs:annotation>
<xs:documentation>The MappingNotesType complex type provides guidance for when (and whether) to map an issue to this CWE entry or to suggest alternatives. The Usage element describes whether the CWE should be used for mapping vulnerabilities to their underlying weaknesses as part of root cause analysis. The Rationale element provides context for the Usage. The Comments element provides further clarification to the reader. The Reasons element uses a limited vocabulary to summarize the Usage. The Suggestions element includes suggestions for additional CWEs that might be more appropriate for the mapping task.</xs:documentation>
</xs:annotation>
<xs:sequence>
<xs:element name="Usage" type="cwe:UsageEnumeration" minOccurs="1" maxOccurs="1"/>
<xs:element name="Rationale" type="cwe:StructuredTextType" minOccurs="1" maxOccurs="1"/>
<xs:element name="Comments" type="cwe:StructuredTextType" minOccurs="1" maxOccurs="1"/>
<xs:element name="Reasons" type="cwe:ReasonsType" minOccurs="1" maxOccurs="1"/>
<xs:element name="Suggestions" type="cwe:SuggestionsType" minOccurs="0" maxOccurs="1"/>
</xs:sequence>
</xs:complexType>
从这个定义可以看出在"Mapping_Notes"节点下,还有5个子节点,其中"Usage",“Rationale”,“Comments”,"Reasons"是强制必须有的节点,"Suggestions"为可选节点。
这个节点信息的增加,将为我们在CWE与缺陷映射时,提供极大的帮助,以提高映射的准确性。
CWE的工作者们已经意识到CWE与缺陷的映射时出现的重叠或CWE之间存在模糊的交集,会给缺陷分类带来很多的困惑,最最近的几个版本中,正试图通过增加节点以及映射说明,逐步的修正这个问题。特别是CWE 4.11中添加了新的软件保障趋势视图综合分类:CWE-1400,将所有弱点分组(如“内存安全”),以便于分析软件保障中的趋势和优先级。
3. CWE 2023 TOP 25
CWE Top 25 是通过分析美国国家标准与技术研究院(National Institute of Standards and Technology(NIST)) 美国国家漏洞数据库(U.S. National Vulnerability Database(NVD))中的公共漏洞数据来计算的,以获取前两个日历年 CWE 弱点的根本原因映射。这些弱点会导致软件中的严重漏洞。攻击者通常可以利用这些漏洞来控制受影响的系统、窃取数据或阻止应用程序运行。
2023年 CWE TOP25 包含最近常见漏洞和披露(Common Vulnerabilities and Exposures (CVE))记录的更新弱点数据,这些数据是网络安全和基础设施安全局(Cybersecurity and Infrastructure Security Agency’s (CISA))已知被利用漏洞(Known Exploited Vulnerabilities (KEV)) 目录的一部分。
CWE 通过分析2021到2022年报告的43,996个CVE漏洞,得到了2023 最具威胁的25种漏洞。
对此类漏洞数据进行趋势分析使组织能够在漏洞管理方面做出更好的投资和政策决策。许多处理软件的专业人士会发现 CWE Top 25 是帮助降低风险的实用且方便的资源。
- 2023 CWE TOP25排行
| 排行 | CWE | 得分 | CVE in KEV | 变动 |
|---|---|---|---|---|
| 1 | CWE-787:跨界内存写 | 63.72 | 70 | 0 |
| 2 | CWE-79:在Web页面生成时对输入的转义处理不恰当(跨站脚本) | 45.54 | 4 | 0 |
| 3 | CWE-89:SQL命令中使用的特殊元素转义处理不恰当(SQL注入) | 37.27 | 6 | 0 |
| 4 | CWE-416:释放后使用 | 16.71 | 44 |
|
| 5 | CWE-78:OS命令中使用的特殊元素转义处理不恰当(OS命令注入) | 15.65 | 23 |
|
| 6 | CWE-20:输入验证不恰当 | 15.50 | 35 |
|
| 7 | CWE-125:跨界内存读 | 14.6 | 2 |
|
| 8 | CWE-22:对路径名的限制不恰当(路径遍历) | 14.11 | 16 | 0 |
| 9 | CWE-352:跨站请求伪造(CSRF) | 11.73 | 0 | 0 |
| 10 | CWE-434:危险类型文件的不加限制上传 | 10.41 | 5 | 0 |
| 11 | CWE-862:授权机制缺失 | 6.90 | 0 |
|
| 12 | CWE-476:空指针解引用 | 6.59 | 0 | 0 |
| 13 | CWE-287:认证机制不恰当 | 6.39 | 10 |
|
| 14 | CWE-190:整数溢出或超界折返 | 5.89 | 4 |
|
| 15 | CWE-502:不可信数据的反序列化 | 5.56 | 14 |
|
| 16 | CWE-77:在命令中使用的特殊元素转义处理不恰当(命令注入) | 4.95 | 4 |
|
| 17 | CWE-119:内存缓冲区边界内操作的限制不恰当 | 4.75 | 7 |
|
| 18 | CWE-798:使用硬编码的凭证 | 4.57 | 2 |
|
| 19 | CWE-918:服务端请求伪造(SSRF) | 4.56 | 16 |
|
| 20 | CWE-306:关键功能的认证机制缺失 | 3.78 | 8 |
|
| 21 | CWE-362:使用共享资源的并发执行不恰当同步问题(竞争条件) | 3.53 | 8 |
|
| 22 | CWE-269:特权管理不恰当(Improper Privilege Management) | 3.31 | 5 |
|
| 23 | CWE-94:对生成代码的控制不恰当(代码注入) | 3.30 | 6 |
|
| 24 | CWE-863:授权机制不正确(Incorrect Authorization) | 3.16 | 0 |
|
| 25 | CWE-276:缺省权限不正确 | 3.16 | 0 |
|
3.1. 缺陷变动情况
-
名单中上升最快的是:
- CWE-416:释放后使用, 从 #7 上升到 #3;
- CWE-862:授权机制缺失, 从 #16 上升到 #11;
- CWE-269:特权管理不恰当, 从 #29 上升到 #22;
- CWE-863:授权机制不正确, 从 #28 上升到 #24。
-
名单中跌幅最大的是:
- CWE-502:不可信数据的反序列化, #12 降为 #15;
- CWE-798:使用硬编码的凭证, 从 #15 降为 #18;
- CWE-276:缺省权限不正确, 从 #20 降为 #25。
-
前25名中的新进缺陷是:
- CWE-269:特权管理不恰当, 从 #29 上升到 #22;
- CWE-863:授权机制不正确, 从 #28 上升到 #24。
-
跌出前25名的缺陷是:
- CWE-400:未加控制的资源消耗(资源耗尽), 从 #23 跌到 #37;
- CWE-611:XML外部实体引用的不恰当限制(XXE), 从 #24 跌到 #28。
体验华为云Check代码检查服务可参与新人入驻抽奖:华为云论坛_云计算论坛_开发者论坛_技术论坛-华为云
