Hodnocení zranitelností a přístup k jejich řešení na serveru

[Aleš Rygl]

Ahoj vespolek,

obecne tema: jak pristupujete resp. by se melo pristupovat k zranitelnostem, ktere napr. objevim na serveru, ktery je prakticky bez uzivatelskych uctu, ma primou internetovou konektivitu a je rekneme v nejake DMZ, ma dedikovany int. pro spravu a nalezena zranitelnost je treba CVE-2025-66293. To je chyba v libpng knihovne, cituji:

LIBPNG is a reference library for use in applications that read, create, and manipulate PNG (Portable Network Graphics) raster image files. Prior to 1.6.52, an out-of-bounds read vulnerability in libpng's simplified API allows reading up to 1012 bytes beyond the png_sRGB_base[512] array when processing valid palette PNG images with partial transparency and gamma correction. The PNG files that trigger this vulnerability are valid per the PNG specification; the bug is in libpng's internal state management. Upgrade to libpng 1.6.52 or later.

CVSS V3 score je 7.1. Vektor utoku: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:H indikuje zneuziti pres sit, s nizkou slozitosti, bez nutnosti spec. opravneni.

Server ma specificke sitove vyuziti, neni to web server, nema zadne API ven, provoz se generuje jen z nej ven a to zcela bez uziv. interakce. Jak realne je mozne zneuziti takove (takovych) zranitelnosti, ktere se obecne tykaji treba knihoven, ktere nijak s vlastnim fungovanim serveru nesouvisi? Zranitelnost samozrejme pri nejakem sec. scanu vyskoci v reportech a je treba se tim zabyvat.

Diky za nazory.

[Reklama]

[supreme.commander]

Ahoj,

u nas admini maju v priamo v popise prace ako povinnost udrzovat aktualizovane operacne systemy a aplikacie. Tak isto mame zavedenu politiku manazmentu zranitelnosti.

Nic nepisete o aky OS sa jedna. Ale celkom by ma zaujimala vyhovorka na otazku co brani adminovi pustit, v pripade deb distier jednoriadkovy prikaz sudo apt --only-upgrade install libpng

[Radek Zajíc]

Jen si tu odlozim:

https://x.com/ffmpeg/status/2007500591766155282

K tematu: upgradovat ano (kdyz jsou aktualizace k dispozici), ale "problemy" podobneho typu jako u ffmpegu nebo u te png knihovny rozhodne nevyzaduji okamzitou reakci. Jednotliva CVE je potreba kriticky zvazit.

Z reakci pod odkazovanym twitter prispevkem vybiram jednu reakci: Ask for the attack chain. Just ask for it.

[Aleš Rygl]

Jen si tu odlozim:

https://x.com/ffmpeg/status/2007500591766155282

Presne to jsem myslel... 

[Wasper]

obecne tema: jak pristupujete resp. by se melo pristupovat k zranitelnostem, ktere napr. objevim na serveru,

Tak spravne by na to mel byt stanoven presny proces, obvykle tak, ze ten, kdo je odpovedny za sledovani vulnerabilit ji vyhodnoti s ohledem na dane prostredi, v pripade, ze je riziko male/zadne, tak se server opatchuje v ramci standardniho patchovani (to zase stanovi vnitrni smernice), pokud to vyhodnoti jako riziko, tak iniciuje emergency proces - nekdy muze jit o mitigaci (priklad - nevypnu celou vyrobni linku, abych mohl ihned opatchovat, ale zariznu pristup k zranitelne sluzbe), nekdy predcasne patchovani.

O tom, jak to obvykle vypada v praxi radsi nemluvit. Pocinaje tim juniornim bezpecakem, ktery casto ani netusi, co je IP adresa  natoz pak neco o dynamickych knihovnach...

[Reklama]

[Exceptions]

je to taková chupce v poslední době. Je velmi těžké argumentovat (a sbírat podklady) proč aktualizovat nemusíš, když ti monitoring svítí červeně a křičí, že systém je zranitelný. Teď s nástupem NIS2 to je ještě složitější.

Prakticky mi vychází levněji (= méně práce) prostě tu aktualizaci udělat než jí nedělat a objahovat proč.

Ano, tipuji, že 99 % bezpečnostních aktualizací, které děláme, jsou kvůli věcem, které nejsou reálně zneužitelné, protože se nepoužívají.

Cesta, na kterou se dlouhodobě zaměřuji je zeštíhlování SW, tak aby prostě neobsahoval věci, které nepoužívá. Tj. co nejménší základní OS, minimum OS balíčků (aplikace si závislosti nesou s sebou, tady opět také minimální). Tak, abych se vyhnul bezpečnostním aktualizacím, které nepotřebuji, ale je těžké to obhájit.

Pomáhá mi k tomu nixos, talos, conda-forge, docker atd.

[pavel411]

Prakticky mi vychází levněji (= méně práce) prostě tu aktualizaci udělat než jí nedělat a objahovat proč.

souhlas, bohatě stačí vysvětlování false-positive hlášení zranitelností :-/

[Aleš Rygl]

Cesta, na kterou se dlouhodobě zaměřuji je zeštíhlování SW, tak aby prostě neobsahoval věci, které nepoužívá. Tj. co nejménší základní OS, minimum OS balíčků (aplikace si závislosti nesou s sebou, tady opět také minimální). Tak, abych se vyhnul bezpečnostním aktualizacím, které nepotřebuji, ale je těžké to obhájit.

Diky za inspiraci...