Ich führe mit OpenVAS eine Prüfung auf einer unserer Boxen durch, die ergab, dass auf dem Gerät eine große Anzahl von Solaris-Patches fehlt. Ich versuche herauszufinden, ob es sich dabei um Fehlalarme handelt oder nicht. Daher habe ich eine Frage, zu der ich gerne eine Antwort hätte.
Nehmen wir beispielsweise an, dass OpenVAS meldet, dass mir ein Patch fehlt 141001-03, und wenn das der Fall ist, patchadd -p | grep 141001-03erhalte ich keine Standardausgabe, die anzeigt, dass es tatsächlich richtig ist, dass ich keinen Patch habe 141001-03. Wenn ich jedoch nach „grep“ suche 141001und eine Übereinstimmung erhalte, die besagt, dass 151001-60 Obsoletes: 141001-04ich 141001-04 jedoch nicht auf dem System installiert habe, bedeutet dies, dass ich die Sicherheitslücke noch benötige 141001-03oder dass dies 151001-03ausreicht, um sie zu beheben – da Solaris-Patches „kumulativ“ sind.
Nur noch eine damit zusammenhängende Frage, wenn wir schon beim Thema sind: Wenn „Keine aktuelle Revision“ installiert ist, bedeutet das, dass es nicht unbedingt notwendig ist?
Antwort1
In diesem Fall wurde 141001-03 durch 141001-04 ersetzt. Dieses wurde wiederum durch 151001-60 ersetzt, das Sie installiert haben. Ihr System hat also die mit 141001-03, 141001-04 und 151001-60 verbundenen Probleme gepatcht. Kumulatives Patchen.
Weitere Informationen finden Sie auf der Seite von Oracle unterÜbersicht über Solaris-Patchtypen und -Abhängigkeiten
Ich bin mir nicht sicher, was Sie mit „Keine aktuelle Revision installiert, bedeutet das, dass es nicht unbedingt erforderlich ist“ meinen. Können Sie das näher erläutern?
Antwort2
Einfach ausgedrückt: Wenn ein Patch besagt, dass er einen anderen ersetzt, müssen Sie den Patch, der als fehlend angezeigt wird, nicht anwenden. In Ihrem Fall 141001-XXmuss er also nicht angewendet werden. Wenn Sie versuchen, ihn anzuwenden, wird tatsächlich angegeben, dass es bereits einen Patch gibt, der ihn ersetzt.
„Keine aktuelle Revision installiert“ kann in beide Richtungen übernommen werden. Wenn der Scanner dies anzeigt, benötigen Sie es möglicherweise. Sehen Sie sich jedoch vor der Anwendung an, was es ist. Bestimmte Scanner basieren die Überprüfung beispielsweise auf dem von Oracle empfohlenen Patchpaket. Dieses Paket enthält beispielsweise Patches für Firefox. Wenn Sie es entfernt haben, wird es als fehlende Revision angezeigt und Sie müssen den Patch nicht installieren, da Sie die Software nicht installiert haben. Andererseits müssen Sie ihn möglicherweise installieren, wenn es sich um eine Software handelt, die Sie installiert haben und für die kein Patch vorhanden ist.