nech ti dokazy, na zaklade ktorych na to prisiel doda on.
Zákazník to tvrdí nejspíš na základě nějakého interně objednaného testu zranitelností.
Můj odhad:
- zákazník dostane seznam zranitelností
(btw, CVE score je sice 7.5, ale pokud to není služba vystrčená do netu, tak se to dá u DOS zranitelností akceptovat)
- vedení trvá na odstranění všech zranitelností > medium
- zákazníci často tvrdohlavě trvají na vyřešení všech zranitelností > 7 bez ohledu na relevantnost
- no a objednatel chce po dodavateli vyřešit problém
...asi tak...
…a přišli na to automatickým skenerem s bugem, imho. Ale mohlo by z toho reportu jít zjistit, proč si to ten skener myslí. My jsme takhle měli problém když jsme dodávali stroj s Debianem, a zákazníkův skener jen porovnal verze, ale v Debianu jsou bezpečnostní opravy backportované a verze se tváří číselně staře. Ale nějak jim to šlo vysvětlit.
No a když jsem jim za tři měsíce řekl, že bych jako pustil znova apt-get update, apt-get upgrade, aby se nainstalovaly nové záplaty, tak řekli, že to v žádném případě nejde, že to je produkční systém a pro každou takovou věc se musí naplánovat odstávkové okno. Takže teď tam mají už víc než rok neaktualizovaný Debian.
Fun fact: odstávkové okno se musí v jejich „korporátu“ plánovat minimálně dny, ale spíše 1-2 týdny předem, což je ale úplně nesmyslné vzhledem k jejich use-case, protože na týden předem nelze spolehlivě předpovědět, jestli bude v daný okamžik někde v okolí pršet (je to meteoradar). My jsme naprosto revoluční, takže když plánuju něco měnit, tak se podívám, jestli neprší a v nejbližší hodině nebude a prostě to udělám.