Выбрать язык


Выбрать язык | Show only


Русский | English


воскресенье, 19 декабря 2021 г.

Апдейтофилия. Уязвимости Heartbleed и Log4j

Все хорошо помнят 2014 год с открывшейся на теле набирающего обороты HTTPS уязвимости с идентификатором CVE-2014-0160, более известной, как Heartbleed. Аналогично запомнится декабрь 2021 года с набором уязвимостей в Apache log4j. Подробно на их описании и методах лечения останавливаться не буду, по ссылкам выше доступна вся необходимая информация. Больше хотелось бы обратить внимание на то, что в обоих случаях подвержены уязвимости оказались не все версии, а лишь часть их. 


Я отлично помню рекомендацию, которую в 2014 году сам же выкатил ИТ-специалистам: на уязвимых к Heartbleed системах после применения лекарства сменить ключи и пароли. То же самое стоило сделать на используемых мной средствах защиты.

Процедура не самая сложная, но очень неприятная, и чем больше пользователей на уязвимой системе, тем неприятнее. Больше всего меня беспокоили системы WAF (Web Application Firewall) и PAM (Privileged Access Management). Но на них оказались версии openssl, не подверженные Heartbleed. Они были несколько старше тех версий, которые оказались уязвимыми.

Пытливый ум читателя может сделать скоропалительный вывод: обновляйся реже - будет проще. Не исключено, но от таких действий может быть не только проще, но и хуже. Обновляться необходимо, причем регулярно, но не превращаясь в апдейтофила. А как определить золотую середину?

Я обновляюсь и всем рекомендую обязательно устанавливать обновления в таких случаях:

  • Патч устраняет уязвимость безопасности.
  • Патч устраняет дефект функционала/стабильности/и т.п.
  • Патч добавляет необходимый функционал.
  • Версия без патча снимается с поддержки.

В остальных - на ваше усмотрение.

Надеюсь, эти рекомендации помогут вам избежать ненужных трудозатрат, при этом повысив уровень безопасности своей инфраструктуры и всего мира в целом.



Комментариев нет:

Отправить комментарий