Fonte conveniente para informações sobre explorações conhecidas (não teóricas)

Perdoe-me se esta pergunta foi feita antes ou fora do tópico.

Os últimos patches de segurança que instalei foram descobertos ao ler artigos de notícias, que discutem publicamente as vulnerabilidades de segurança que se aplicam ao software em meus servidores. Aqui estão dois exemplos de tais explorações que li em um artigo.

Escusado será dizer que não estou satisfeito que eu tive que descobrir essas façanhas existiam no Slashdot, de todos os lugares. Eu corrigi estes, mas eu gostaria de ter uma maneira fácil de ser notificado, ou localização que eu possa facilmente procurar por exploits conhecidos na natureza que dizem respeito a mim.

Eu já estou executando em grande momento negativo como está, portanto, atualizar regularmente os patches de segurança à medida que são lançados é completamente e inquestionavelmente impossível. Eu preciso ignorar "vulnerabilidades teóricas" até que elas se tornem práticas.

Algum de vocês tem boas informações sobre onde encontrar essa fonte de informação?

Em caso afirmativo, esses serviços têm a capacidade de alertá-lo quando um patch se torna disponível para um exploit conhecido no software em que você está interessado?

EDITAR:

Não tenho certeza sobre o que significam os votos negativos, se não estava claro? Minha pergunta é OT? Eu só quero dizer que não estou implicando de forma alguma que remendar contra vulnerabilidades teóricas seja uma má ideia ou uma perda de tempo.

Estou apenas afirmando a realidade deprimente da minha situação, trabalhando para uma pequena empresa em uma economia horrível, onde se espera que eu faça o trabalho de seis pessoas. A realidade de não fazer folha de pagamento como no mês que vem é mais provável que seja a queda da minha empresa do que as vulnerabilidades teóricas de segurança que não tenho tempo para resolver.

security patch-management vulnerabilities

por maple_shaft 24.10.2011 / 18:05

4 respostas

Eu aconselharia a ignorar as vulnerabilidades simplesmente porque elas não têm código de exploração disponível publicamente - enquanto as que são publicadas no slashdot são altamente visíveis, há importantes correções de software sendo lançadas o tempo todo, com e sem código de exploração público disponível. Principalmente sem.

No entanto, lembre-se de que, uma vez que um patch é lançado para uma vulnerabilidade, mesmo que seja relatado em particular, o gato está fora do saco - os ataques podem ser feitos com engenharia reversa com base nas alterações do patch.

Tudo isso dito, eu posso certamente apreciar que é cansativo tentar acompanhar os patches de todos os softwares nos quais você está interessado. Há uma tonelada de recursos por aí.

Uma opção é permitir que seus sistemas fiquem de olho nas coisas - atualizações de e-mail do WSUS no mundo da Microsoft e gerenciadores de pacotes no lado do Linux são um bom recurso, mas muitas vezes deixam você com lacunas - o WSUS não Não oferecemos software de terceiros, e as atualizações de pacotes podem estar atrasadas e não abrangerão softwares que não foram instalados pelo gerenciador de pacotes.

Manter um olho nos canais de anúncio dos fornecedores lhe dará uma imagem muito melhor, mas você precisará de algumas pesquisas sobre cada um deles.

Para aqueles que você citou:

Servidor HTTP Apache: Feed e email
JBoss: e-mail

Há também a opção firehose dos feeds CVE RSS , mas provavelmente não é exatamente isso que você está procurando nas notificações - mas o CVE é certamente um excelente recurso para pesquisar informações sobre um determinado produto, e a pontuação do CVSS que eles fornecem é um bom recurso para determinar a gravidade das vulnerabilidades.

Prestar atenção a "código em estado selvagem" provavelmente está indo longe demais para o buraco do coelho para as suas necessidades, honestamente. Eu recomendaria colocar sua confiança em seus fornecedores, ou então conseguir novos fornecedores - mas se você está determinado, então aqui estão alguns recursos: o Divulgação Completa lista e Exploit DB .

por 24.10.2011 / 19:01

Passo 1: Inscreva-se na lista de discussão -announce e / ou -security para todos os que você instalou no servidor. Dessa forma, você receberá uma notificação assim que forem divulgados pelos desenvolvedores. Estes devem ser de volume razoavelmente baixo e tem sido minha experiência que, se uma vulnerabilidade for anunciada aqui, você provavelmente deve agir de acordo.

Etapa 2: inscreva-se na lista de e-mails bugtraq: link . O Bugtraq é o melhor lugar em que posso pensar para acompanhar as vulnerabilidades à medida que elas surgem. Isso pode ser uma dor para acompanhar, pois é uma lista de discussão ruidosa. Ainda assim, pode valer a pena rastrear essa lista também.

por 24.10.2011 / 18:52

Você entendeu tudo errado. Você perderá mais tempo tentando absorver e filtrar qualquer site de notícias ou vulnerabilidade em algo coeso do que faria com as atualizações. O que você está pedindo apenas não é feito na indústria e, portanto, não há uma fonte fácil filtrada por "o que você precisa". Além disso, há o fato real e feio de que bandidos não nos dizem quando tomam uma ameaça conhecida e teórica e fazem disso um ataque ao vivo.

O que você deve perguntar é como um administrador de sistemas completamente submerso pode voltar à rotina atualizando todas as suas máquinas, serviços e aplicativos. Isso é algo que muitos de nós tiveram que fazer! ; -)

por 24.10.2011 / 19:10

Uma boa lista de vulnerabilidades conhecidas é a listagem de vulnerabilidades do SecurityFocus . As explorações reais em andamento geralmente estão listadas no feed de notícias do Focus de segurança e no Feeds de Packetstorm .

No entanto, eu concordo com outras pessoas que apenas se concentrar em vulnerabilidades publicamente conhecidas é uma perda de tempo - são as vulnerabilidades que são conhecidas pelos bandidos, mas não o público que é o perigo real.

Tudo o que você pode fazer é garantir que todos os seus softwares permaneçam atualizados e siga rigorosamente as melhores práticas de registro e segurança.

por 24.10.2011 / 19:24