Я провожу аудит одного из наших ящиков с помощью OpenVAS, который сообщил, что на устройстве отсутствует большое количество исправлений Solaris. Я пытаюсь определить, являются ли эти срабатывания ложными или нет, поэтому у меня есть вопрос, по которому я был бы признателен за некоторые указания.
Например, OpenVAS сообщает, что у меня отсутствует патч, 141001-03и когда я это делаю, patchadd -p | grep 141001-03я не получаю стандартный вывод, показывающий, что это действительно верно, что у меня нет патча 141001-03. Однако, если я выполняю grep 141001и получаю совпадение, которое говорит, 151001-60 Obsoletes: 141001-04но у меня не установлен 141001-04 в системе — означает ли это, что мне все еще требуется 141001-03или 151001-03достаточно устранить уязвимость — поскольку патчи Solaris являются «накопительными».
Еще один вопрос по теме: если установлено «Нет текущей версии», означает ли это, что она не обязательно нужна?
решение1
В этом случае 141001-03 был заменен на 141001-04. Который в свою очередь был заменен на 151001-60, который вы установили. Таким образом, в вашей системе исправлены проблемы, связанные с 141001-03, 141001-04 и 151001-60. Накопительное исправление.
Более подробную информацию можно найти на странице Oracle по адресуОбзор типов и зависимостей исправлений Solaris
Не совсем понятно, что вы имеете в виду, говоря «текущая версия не установлена». Означает ли это, что она не обязательно нужна? Можете ли вы пояснить?
решение2
Проще говоря, если патч утверждает, что другой патч устарел, то вам не нужно применять тот, который указан как отсутствующий. Так что в вашем случае 141001-XXне нужно применять. Фактически, если вы попытаетесь применить, он сообщит, что уже есть патч, который его заменяет.
Текущая установленная версия не может быть взята в обоих направлениях. Если сканер обвиняет его, то, возможно, он вам нужен. Но перед применением посмотрите, что это такое. Например, некоторые сканеры основывают проверку на пакете исправлений Oracle Recommended. Этот пакет включает, например, исправления для Firefox. Если вы его удалили, он должен быть отсутствующей версией, и вам не нужно устанавливать исправление, потому что у вас не установлено программное обеспечение. С другой стороны, вам может потребоваться установить, если это программное обеспечение, которое вы установили и оно не было исправлено.