Scanners de vulnerabilidade e patches do Solaris

Scanners de vulnerabilidade e patches do Solaris

Estou realizando uma auditoria em uma de nossas caixas usando OpenVAS, que relatou que faltava um grande número de patches do Solaris no dispositivo. Estou tentando determinar se esses são falsos positivos ou não, então tenho uma pergunta que gostaria de receber alguma orientação.

Digamos, por exemplo, que o OpenVAS relata que estou faltando patch 141001-03e, quando o faço, patchadd -p | grep 141001-03não recebo nenhuma saída padrão mostrando que é realmente correto que não tenho patch 141001-03. No entanto, se eu usar o grep 141001e obtiver uma correspondência que diga, 151001-60 Obsoletes: 141001-04mas não tenho 141001-04 instalado no sistema - isso significa que ainda preciso 141001-03ou é 151001-03suficiente para remediar a vulnerabilidade - já que os patches do Solaris são 'Cumulativos'.

Apenas outra questão relacionada enquanto estamos no assunto, se não houver "Nenhuma revisão atual" instalada, isso significa que não é necessariamente necessário.

Responder1

Neste caso, 141001-03 foi substituído por 141001-04. Que por sua vez foi substituído pelo 151001-60, que você instalou. Portanto, seu sistema tem os problemas associados a 141001-03, 141001-04 e 151001-60 corrigidos. Patch cumulativo.

Mais informações na página da Oracle emVisão geral dos tipos de patch e dependências do Solaris

Não tenho certeza sobre o que você quer dizer com ""Nenhuma revisão atual" instalada, isso significa que não é necessariamente necessária", você pode explicar?

Responder2

Em termos simples, se um patch afirma que outro está obsoleto, então você não precisa aplicar aquele que está faltando. Então no seu caso 141001-XXnão precisa ser aplicado. Na verdade, se você tentar aplicá-lo, indicará que já existe um patch que o substitui.

Nenhuma revisão atual instalada pode ser usada nos dois sentidos. Se o scanner acusar isso, talvez você precise disso. Mas antes de aplicar veja o que é. Por exemplo, determinados scanners baseiam a verificação no pacote de patches recomendado pela Oracle. Este pacote inclui, por exemplo, patches para Firefox. Se você o removeu, a revisão deverá estar faltando e você não precisará instalar o patch porque não possui o software instalado. Por outro lado, pode ser necessário instalar se for um software que você instalou e não foi corrigido.

informação relacionada