SecurityTop

Материал из OpenWiki
Перейти к: навигация, поиск

Оглавление


Список формируется на основе анализа исходных текстов программ


Безнадежные с точки зрения безопасности программы (нельзя использовать)

Авторы этих программ совершенно не думают о безопасности и совершают одни и те же ошибки. С большой степенью вероятности можно утверждать о наличии в этих программах не выявленных в настоящее время проблем.

  • qpopper
  • sendmail
  • bind 8
  • proftpd
  • wuftpd
  • wu-imap
  • phpBB (было актуально для phpBB 2; phpBB 3 был переписан с учетом проблем, произведен аудит кода, но тем не менее уязвимости все равно всплывают)
  • phpMyAdmin
  • Webmin
  • PHP-Nuke
  • fetchmail
  • OCS Inventory NG
  • Joomla
  • Cacti
  • Apache Struts
  • Ghostscript
  • FreeRTOS
  • exim
  • vBulletin
  • OpenSMTPD
  • SaltStack

Безопасность хромает, но приходится использовать (только в контейнере)

Программы написаны без оглядки на безопасность, но в виду отсутствия альтернатив их приходится использовать (обязательно заключив в chroot окружение, отдельную виртуальную машину или контейнер).

  • php
  • inn
  • MySQL
  • net-snmp
  • ClamAV (drweb и kaspersky не лучше)
  • Samba
  • Cyrus-imap
  • Courier-imap
  • dhcpd
  • ntpd
  • OpenSSL
  • GitLab
  • ownCloud
  • powerdns
  • Imagemagick, libpng, libjpeg
  • dovecot IMAP (написан с оглядкой на безопасность, но последнее время выявляют критические уязвимости)

Не совсем понял автора. Почему OpenSSL только в chroot? Или автор таким образом пытается сказать о том, что собрав Postfix c TLS, я должен непременно пихать его в chroot? Как быть с OpenSSH?

В целом безопасность нормальная, но были прецеденты (желательно в контейнере)

  • apache
  • lighttpd
  • bind 9
  • PostgreSQL
  • squid
  • snort
  • nginx (одна критическая уязвимость)

Программы с отличной безопасностью (можно без контейнера)

  • popa3d
  • vsftpd
  • postfix
  • openssh
  • openntpd

Примечание

Следует отметить, что данный список носит рекомендательный характер и отражает субъективное мнение автора и людей, вносящих в него изменения. Если программа указана как небезопасная, это не значит, что в ней в данный момент есть уязвимость и что она не может быть использована. Это значит, что неоднократное нахождение в данном продукте похожих проблем безопасности и предварительная оценка исходных текстов, дает основание предположить, что авторы данной программы халатно относятся к исправлению ошибок безопасности и не пытаются исправить ситуацию в положительную сторону, изменив подход к написанию кода и проведя полный аудит исходных текстов.