Freebsd: auditoria pkg espalhada no tempo em diferentes servidores

1

Temos vários servidores Freebsd , nos quais verificamos diariamente as vulnerabilidades com pkg audit .

Pergunta: Muitas vezes, a mesma vulnerabilidade é relatada apenas em alguns servidores e depois em outros no dia seguinte. A questão é: por que isso?

Mais informações:

1. Os servidores são praticamente idênticos: a mesma versão, o mesmo software instalado e os mesmos deveres.

2. Eu tentei fazer login nos servidores que não relataram a vulnerabilidade:

  1. portsnap fetch update then pkg audit give 0 problem(s) in the installed packages found.
  2. portmaster <packagename> tenta reinstalar o pacote vulnerável em vez de atualizá-lo.

3. uname -a em dois servidores diferentes:

FreeBSD host1.domain.com 10.3-RELEASE-p17 FreeBSD 10.3-RELEASE-p17 #14: Wed Apr 12 08:59:21 CEST 2017     [email protected]:/usr/obj/usr/src/sys/MYKERNEL  i386
FreeBSD host2.domain.org 10.3-RELEASE-p17 FreeBSD 10.3-RELEASE-p17 #9: Fri Feb 24 13:30:09 CET 2017     [email protected]:/usr/obj/usr/src/sys/MYKERNEL  i386

4. Em todos os casos, portsnap fetch update downloads formam o mesmo espelho:

Fetching snapshot tag from ec2-eu-west-1.portsnap.freebsd.org

5. Exemplo de vulnerabilidades encontradas por pkg audit :

curl-7.54.1 is vulnerable:
cURL -- multiple vulnerabilities
CVE: CVE-2017-1000101
CVE: CVE-2017-1000100
CVE: CVE-2017-1000099
WWW: https://vuxml.FreeBSD.org/freebsd/69cfa386-7cd0-11e7-867f-b499baebfeaf.html

sqlite3-3.19.3_1 is vulnerable:
sqlite3 -- heap-buffer overflow
CVE: CVE-2017-10989
WWW: https://vuxml.FreeBSD.org/freebsd/9245681c-7c3c-11e7-b5af-a4badb2f4699.html

6. Todos os servidores estão no mesmo local e compartilham a mesma conexão com a Internet direta . Nenhum proxy.

    
por simlev 11.08.2017 / 11:03

1 resposta

2

Você poderia confirmar que está usando pkg audit -F :

 -F, --fetch
        Fetch the database before checking.

Além disso, se os servidores não estiverem nos mesmos locais, também é possível que:

  • alguns servidores estão usando um proxy armazenando em cache o arquivo de banco de dados
  • os servidores não estão usando o mesmo espelho VulnXML (o vuxml.freebsd.org é redirecionado automaticamente para o espelho mais próximo)
por 11.08.2017 / 13:45