Все хорошо помнят 2014 год с открывшейся на теле набирающего обороты HTTPS уязвимости с идентификатором CVE-2014-0160, более известной, как Heartbleed. Аналогично запомнится декабрь 2021 года с набором уязвимостей в Apache log4j. Подробно на их описании и методах лечения останавливаться не буду, по ссылкам выше доступна вся необходимая информация. Больше хотелось бы обратить внимание на то, что в обоих случаях подвержены уязвимости оказались не все версии, а лишь часть их.
Я отлично помню рекомендацию, которую в 2014 году сам же выкатил ИТ-специалистам: на уязвимых к Heartbleed системах после применения лекарства сменить ключи и пароли. То же самое стоило сделать на используемых мной средствах защиты.
Процедура не самая сложная, но очень неприятная, и чем больше пользователей на уязвимой системе, тем неприятнее. Больше всего меня беспокоили системы WAF (Web Application Firewall) и PAM (Privileged Access Management). Но на них оказались версии openssl, не подверженные Heartbleed. Они были несколько старше тех версий, которые оказались уязвимыми.Пытливый ум читателя может сделать скоропалительный вывод: обновляйся реже - будет проще. Не исключено, но от таких действий может быть не только проще, но и хуже. Обновляться необходимо, причем регулярно, но не превращаясь в апдейтофила. А как определить золотую середину?
Я обновляюсь и всем рекомендую обязательно устанавливать обновления в таких случаях:
- Патч устраняет уязвимость безопасности.
- Патч устраняет дефект функционала/стабильности/и т.п.
- Патч добавляет необходимый функционал.
- Версия без патча снимается с поддержки.
В остальных - на ваше усмотрение.
Надеюсь, эти рекомендации помогут вам избежать ненужных трудозатрат, при этом повысив уровень безопасности своей инфраструктуры и всего мира в целом.
Комментариев нет:
Отправить комментарий