CVEs sind für alle Akteure in der Softwarekette (Entwickler, Systemadministratoren, Kunden ...) nützlich, um zu entscheiden, ob Maßnahmen gegen vorhandene Software ergriffen werden sollen oder nicht. Proof of Concepts werden absichtlich redigiert, da das Patchen der tatsächlichen Installationen , wie ich zeigen werde, sehr lange dauert.
In einer theoretischen Welt werden Patches sofort bereitgestellt alle Geräte. Dies garantiert, dass alle Geräte gepatcht und geschützt sind. Dies ist nicht möglich.
Wählen Sie Android ...
- T0: Eine Sicherheitsanfälligkeit im Linux-Kernel, die sich auf den Android-Kernel auswirkt, wurde gefunden und gepatcht
- T1: Google patcht AOSP und veröffentlicht den Patch.
- T2: Mobilfunkhersteller (z. B. LG, Motorola, Samsung) erhalten den Patch und wenden ihn auf ihren benutzerdefinierten Build an.
- T3: Der Patch wird OTA an Verbraucher geliefert
- T4: Ein Unternehmen mit Tausenden von Android-Geschäftsgeräten desselben Herstellers stellt das Update für die Arbeitsgeräte bereit.
Wählen Sie Apache ...
Dies ähnelt einem Fall, der mir während meiner Arbeit passiert ist.
- T0: Eine Sicherheitslücke in Apache wurde gefunden und gepatcht. Apache wird freigegeben.
- T1 : Ein großes Unternehmen, das Apache für viele Anwendungen verwendet, die intern auf verschiedenen Servern installiert sind, plant das Upgrade
- T2 auf T100: Alle Apache-Instanzen werden auf den Unternehmenssystemen aktualisiert, wobei Lieferanten und Manager sich treffen und planen müssen ein Testplan
Kurz gesagt,
CVEs sind nützlich, um de Termine "wie alt" und "wie riskant" eine Software ist. Durch die Prüfung des Schweregrads und der betroffenen Komponenten können die IT-Mitarbeiter entscheiden, ob sie beispielsweise vorerst kein Upgrade durchführen, sofort ein Upgrade durchführen und zusätzliche temporäre Sicherheitsmaßnahmen anwenden möchten (z. B. Firewall, Proxy).
In der Unternehmenswelt Das Software-Upgrade weist eine intrinsische Langsamkeit auf. Ich sehe Banken, auf denen Java < = 1.5 ausgeführt wird (wieder nicht später als 1.5 ), weil spätere Versionen nicht zertifiziert wurden und Java 1.7 bereits nicht mehr verfügbar ist.
Wir wissen, dass Unternehmen immer noch XP ausführen, weil sie nicht wissen, ob ihre gesamte vorhandene Softwarebasis unter Windows 7 ausgeführt wird, und es nicht einmal wagen, 10 zu versuchen.
Meiner Erfahrung nach kann ein schwerer CVE der Grund sein um ein Software-Upgrade in einem strukturierten Unternehmensszenario zu priorisieren.