Sledování CVE

[Elep331]

Ahoj, používáte nějakou službu pro sledování zranitelností CVE? Něco jako: zaregistruji se, vyberu si produkty co používám a nechávám se informovat o CVE týkajících se pouze těch mých systémů.

Případně jak obecně sledujete zranitelnosti?

Díky

[Reklama]

[Vít Šesták (v6ak)]

Chcete se přihlašovat ke každému produktu ručně? Pokud ne, tak se bude hodit nějaký scanner, který identifikuje komponenty a pokusí se k nim dohledat známé zranitelnosti.

A konkrétní nástroj? Záleží na platformě. A situace se může lišit u zranitelností aplikací nainstalovaných v OS a u zranitelností 3rd party knihoven ve Vámi vyvíjené aplikaci.

Ale celkem univerzální je OWASP Dependency Check, případně asi i OWASP Dependency Track. (Navzdory podobnému názvu spolu až tolik společného uvnitř zřejmě nemají.) A teď je otázka i nasazení. Domácí použití? Správa tisíců počítačů? CI server?

[altrok]

https://www.us-cert.gov/ncas/bulletins

[Elep331]

Já nehledám systém, který bude provádět detekci zranitelností. Hledám systém, kde si zaškrtám jaké systémy používám a na e-mail mi budou chodit nějaké reporty o CVE mých systémů.

[zden2k]

Já nehledám systém, který bude provádět detekci zranitelností. Hledám systém, kde si zaškrtám jaké systémy používám a na e-mail mi budou chodit nějaké reporty o CVE mých systémů.

Přidávám se k tazateli, něco takového bych taky uvítal.

[Reklama]

[apurkrt]

Gentoo Linux Security Advisories (GLSA)

https://wiki.gentoo.org/wiki/GLSA
https://security.gentoo.org/glsa/

glsa-check -t all

[Vít Šesták (v6ak)]

Tak zmíněné OWASP Dependency Check a OWASP Dependency Track něco takového dělají, akorát se liší ovládání. OWASP Dependency Check as pokusí k zadanému softwaru dohledat v různých databázích (mj. NVD) známé zranitelnosti a vrátí výsledek jako JSON/XML/další. Nemá to výstup na e-mail. OWASP Dependency Track dělá něco podobného, ale má větší možnosti vstupu (v podstatě stačí i ten seznam ve vhodné podobě) a výstup je na web, možná bude mít i e-mailové notifikace.

Akorát oboje jsou nástroje, které si spouštíte sami, a nevím o existujícím hostingu.

[FKoudelka]

Tak zmíněné OWASP Dependency Check a OWASP Dependency Track něco takového dělají, akorát se liší ovládání. OWASP Dependency Check as pokusí k zadanému softwaru dohledat v různých databázích (mj. NVD) známé zranitelnosti a vrátí výsledek jako JSON/XML/další. Nemá to výstup na e-mail. OWASP Dependency Track dělá něco podobného, ale má větší možnosti vstupu (v podstatě stačí i ten seznam ve vhodné podobě) a výstup je na web, možná bude mít i e-mailové notifikace.

Akorát oboje jsou nástroje, které si spouštíte sami, a nevím o existujícím hostingu.

Jasná mezera na trhu - k využití

[Tomas-T]

Jasná mezera na trhu - k využití

Jako, že někomu cizímu dám přesný seznam verzí všech knihoven, co u mě běží, aby to měl útočník snadnější, až to dotyčné firmě někudy uteče?
Navíc ještě když účelem je vlastně shromažďování bezpečnostních děr v dotyčných knihovnách?

[Vít Šesták (v6ak)]

Díra na trhu – toť otázka. Typicky tu máme řešení pro specifičtější scénáře, jako je scan OS nebo scan zranitelných knihoven v projektu. Tato řešení jsou navíc automatizovaná, tedy nemusím nic ručně vyplňovat a udržovat seznam, navíc umějí vyfiltrovat zranitelnosti pro použitou verzi, nebo se o to aspoň snaží. Obvykle jsou tato řešení vhodnější, než co požaduje Elep331. Bohužel můžeme jen spekulovat, proč chce něco tak specifického, ale díru na trhu bych v tom spíše neviděl.

[_Jenda]

Jasná mezera na trhu - k využití

Jako, že někomu cizímu dám přesný seznam verzí všech knihoven, co u mě běží, aby to měl útočník snadnější, až to dotyčné firmě někudy uteče?
Navíc ještě když účelem je vlastně shromažďování bezpečnostních děr v dotyčných knihovnách?

Tak ono těch CVEček není zas tolik, aby to nemohl stahovat všechno a grepovat to lokálně. Tak vlastně jo - nestačilo by v prvním přiblížení stahovat CVEčka a hledat v nich názvy „svých“ programů? Jinak pro Debian je debian-security mailing list, kde je vždycky název balíčku - takže si můžeš automaticky vypsat všude nainstalované balíčky a porovnat to.

[FKoudelka]

Jasná mezera na trhu - k využití

Jako, že někomu cizímu dám přesný seznam verzí všech knihoven, co u mě běží, aby to měl útočník snadnější, až to dotyčné firmě někudy uteče?
Navíc ještě když účelem je vlastně shromažďování bezpečnostních děr v dotyčných knihovnách?

Kdo chce kam, pomozme mu tam ...

[FKoudelka]

Díra na trhu – toť otázka. Typicky tu máme řešení pro specifičtější scénáře, jako je scan OS nebo scan zranitelných knihoven v projektu. Tato řešení jsou navíc automatizovaná, tedy nemusím nic ručně vyplňovat a udržovat seznam, navíc umějí vyfiltrovat zranitelnosti pro použitou verzi, nebo se o to aspoň snaží. Obvykle jsou tato řešení vhodnější, než co požaduje Elep331. Bohužel můžeme jen spekulovat, proč chce něco tak specifického, ale díru na trhu bych v tom spíše neviděl.

Můžete to rozvést prosím ?
Cesta z druhé strany?

[Vít Šesták (v6ak)]

Tak scan repozitáře se zdrojáky umí třeba GitHub (a nejen ten) a dělá to celkem automaticky, podmínkou je řešit závislosti podporovaným způsobem.

Scan OS jsem taky někde viděl, byť tady musí něco běžet lokálně. Možná to bylo od OSSIndex. Nebo na mnoha distribucích lze použít informace z repozitáře, z hlavy přesně nevím, ale třeba Fedora AFAIK něco má a u Debianu máte separátní repozitář security.

Nebo jste chtěl rozvést něco jiného?

[kouril]

Muzete zkusit https://github.com/CESNET/pakiti-server/