Ověření zranitelnosti webového serveru

_Jenda

  • *****
  • 1 603
    • Zobrazit profil
    • https://jenda.hrach.eu/
    • E-mail
Re:Ověření zranitelnosti webového serveru
« Odpověď #15 kdy: 04. 11. 2023, 13:43:06 »
nech ti dokazy, na zaklade ktorych na to prisiel doda on.

Zákazník to tvrdí nejspíš na základě nějakého interně objednaného testu zranitelností.

Můj odhad:
- zákazník dostane seznam zranitelností
(btw, CVE score je sice 7.5, ale pokud to není služba vystrčená do netu, tak se to dá u DOS zranitelností akceptovat)
- vedení trvá na odstranění všech zranitelností > medium
- zákazníci často tvrdohlavě trvají na vyřešení všech zranitelností > 7 bez ohledu na relevantnost
- no a objednatel chce po dodavateli vyřešit problém
...asi tak...
…a přišli na to automatickým skenerem s bugem, imho. Ale mohlo by z toho reportu jít zjistit, proč si to ten skener myslí. My jsme takhle měli problém když jsme dodávali stroj s Debianem, a zákazníkův skener jen porovnal verze, ale v Debianu jsou bezpečnostní opravy backportované a verze se tváří číselně staře. Ale nějak jim to šlo vysvětlit.

No a když jsem jim za tři měsíce řekl, že bych jako pustil znova apt-get update, apt-get upgrade, aby se nainstalovaly nové záplaty, tak řekli, že to v žádném případě nejde, že to je produkční systém a pro každou takovou věc se musí naplánovat odstávkové okno. Takže teď tam mají už víc než rok neaktualizovaný Debian.

Fun fact: odstávkové okno se musí v jejich „korporátu“ plánovat minimálně dny, ale spíše 1-2 týdny předem, což je ale úplně nesmyslné vzhledem k jejich use-case, protože na týden předem nelze spolehlivě předpovědět, jestli bude v daný okamžik někde v okolí pršet (je to meteoradar). My jsme naprosto revoluční, takže když plánuju něco měnit, tak se podívám, jestli neprší a v nejbližší hodině nebude a prostě to udělám.


CPU

  • *****
  • 863
    • Zobrazit profil
    • E-mail
Re:Ověření zranitelnosti webového serveru
« Odpověď #16 kdy: 04. 11. 2023, 14:38:44 »

Re:Ověření zranitelnosti webového serveru
« Odpověď #17 kdy: 04. 11. 2023, 14:46:24 »
Prokázat to jednoduše nejde... páč DDOS ... řešení upgrade na ngnix 1.19.15 a vyšší. Stejně jako CVE-2019-9516.

Re:Ověření zranitelnosti webového serveru
« Odpověď #18 kdy: 04. 11. 2023, 20:59:15 »
No a když jsem jim za tři měsíce řekl, že bych jako pustil znova apt-get update, apt-get upgrade, aby se nainstalovaly nové záplaty, tak řekli, že to v žádném případě nejde, že to je produkční systém a pro každou takovou věc se musí naplánovat odstávkové okno. Takže teď tam mají už víc než rok neaktualizovaný Debian.
Preboha. Takze je to dolezity server, a nie je aktualizovany?
V banke robia aktualizacie za plnej prevadzky a to tak, ze si urobia aktualny klon systemu, aktualizuju, otestuju a ked je to ok, tak to pustia v noci na produkcny. vypadok ziadny, lebo navyse vsetko tam bezi na viacerych masinach, takze len na tu chvilu aktualizacie odpoja dany stroj od balancera.
Tu by im uplne stacili 2 stroje (zaroven je to zaloha, ak jeden zlyha) a proste najskor aktualizovat jeden, potom druhy. Jednoduche, lacne, efektivne.

_Jenda

  • *****
  • 1 603
    • Zobrazit profil
    • https://jenda.hrach.eu/
    • E-mail
Re:Ověření zranitelnosti webového serveru
« Odpověď #19 kdy: 05. 11. 2023, 10:25:27 »
Preboha. Takze je to dolezity server, a nie je aktualizovany?
Naštěstí není dostupný zveku. Teda moc.

Tu by im uplne stacili 2 stroje (zaroven je to zaloha, ak jeden zlyha) a proste najskor aktualizovat jeden, potom druhy. Jednoduche, lacne, efektivne.
To tady nejde, protože to řídí hardware, který je velmi těžké sdílet. (taky jsme přemýšleli nad failoverem a usoudili jsme že by to bylo strašně složité zapojit tak aby to mělo šanci nějak fungovat)


Re:Ověření zranitelnosti webového serveru
« Odpověď #20 kdy: 06. 11. 2023, 02:18:06 »
Dekuji vsem za odpovedi. Aktualizoval jsem nginx mimo distribuci. Problem vyresen.