SANS、大きな注意を払うべき脆弱性トップ20を公開

SANS Institute は、最も攻撃の対象となっていて、大きな注意を払うべきインターネットセキュリティ脆弱性トップ20リストの2004年版を公開した。Windows では Web サーバーおよびサービス、UNIX/Linux では DNS サーバーの『BIND』が最上位に挙がった。

SANS Institute は5年前からリストを公開しているが、今回初めて Windows と UNIX/Linux それぞれのトップ10リストに分割した。

SANS によれば、同リストは、脆弱性を修正する手順の説明や追加情報へのリンクを含み、情報の更新も行なう「生きた文書」という。

Windows でリストの最上位に挙がったのは、Web サーバーおよびサービスで、SANS はさまざまな HTTP サーバーや関連コンポーネントが、インストールしたままの状態では重大な問題を抱えていることが、これまでに分かっていると警告した。

具体的には、Microsoft (NASDAQ:MSFT) の『IIS』、オープンソースプロジェクトの『Apache』、Sun の『iPlanet (SunONE)』などだ。SANS は IT 管理者に対し、全てのパッチを必ず適用して、最新の状態で運用するよう警告している。

一方 UNIX および Linux でリストの最上位に挙がったのは、今年バッファオーバーフロー問題やキャッシュに不正情報が混入する問題で苦しんでいる BIND となった。DNS は、ホスト名と IP アドレスを相互変換するためには不可欠のもので、中でも BIND は運用数が非常に多いことから、これまで頻繁に攻撃対象になっている。