map*_*aft 1 security patch-management vulnerabilities
如果这个问题以前被问过或偏离主题,请原谅我。
我过去安装的几个安全补丁是通过阅读新闻文章发现的,这些文章公开讨论了适用于我服务器上软件的安全漏洞。以下是我从一篇文章中读到的此类漏洞利用的两个示例。
毋庸置疑,我很不高兴我不得不发现所有地方的 Slashdot 上都存在这些漏洞。我已经修补了这些,但我想有一些简单的方法来获得通知,或者我可以很容易地在野外搜索与我有关的已知漏洞的位置。
我已经在主要的负面时间运行,因此在发布安全补丁时定期更新它们是完全且毫无疑问的。我需要忽略“理论漏洞”,直到它们变得实用。
你们中有没有人有关于在哪里可以找到这样的信息来源的好信息?
如果是这样,当补丁可用于您感兴趣的软件中的已知漏洞时,任何此类服务是否能够提醒您?
不知道downvotes是关于什么的,我不清楚吗?我的问题是 OT 吗?我只是想指出,我并没有以任何方式暗示修补理论漏洞是一个坏主意或浪费时间。
我只是在陈述我的处境令人沮丧的现实,在一个经济糟糕的小公司工作,我预计我要做 6 个人的工作。与我没有时间解决的理论上的安全漏洞相比,下个月没有发放工资单的现实更有可能是我公司的垮台。
我警告不要仅仅因为漏洞没有公开可用的漏洞利用代码而忽略漏洞——虽然那些发布到 slashdot 的漏洞非常明显,但重要的软件修复一直在发布,无论是否有公开的漏洞利用代码可用。大多没有。
但是,请记住,一旦针对漏洞发布了补丁,即使是私下报告的补丁,攻击也通常会根据补丁中的更改进行逆向工程。
说了这么多,我当然可以理解,试图跟上您感兴趣的所有软件的补丁是一件很累人的事。那里有大量资源。
一种选择是让您的系统自己关注事物 - Microsoft 世界中 WSUS 的电子邮件更新和 linux 方面的软件包管理器是一个很好的资源,但通常会给您留下空白 - WSUS 不会给您第三方软件和软件包更新可能会延迟,并且不会涵盖不是从软件包管理器安装的软件。
密切关注供应商的公告渠道会给你一个更好的了解,但你需要对每个渠道进行一些研究。
对于您引用的那些:
还有CVE RSS feeds的 firehose 选项,但这可能不是您在通知中真正要查找的内容 - 但 CVE 无疑是搜索特定产品信息的绝佳资源,它们提供的 CVSS 分数是一个很好的资源,用于确定漏洞的严重程度。
老实说,观察“野外代码”可能对您的需求来说太过分了。我建议您信任您的供应商,或者获得新的供应商 - 但如果您下定决心,那么这里有一些资源:完整披露列表和漏洞利用数据库。
| 归档时间: |
|
| 查看次数: |
171 次 |
| 最近记录: |