请原谅我,如果这个问题之前已经问过,或是脱离主题。
我安装的过去几个安全补丁是从阅读新闻文章中发现的,这些文章公开讨论适用于我的服务器上的软件的安全漏洞。 以下是我从文章中读到的两个例子。
Apache修复了范围头部缺陷,再次
新的JBOSS蠕虫感染未修补的服务器
不用说,我不高兴的是我必须发现所有地方Slashdot上存在的这些漏洞。 我已经补丁了这些,但是我想要有一些简单的方法来通知,或者我可以轻松地search与我有关的野外已知漏洞的位置。
我已经在重大的负面时间运行,所以定期更新安全补丁是完全无疑的。 在实践中,我需要忽视“理论上的弱点”。
你们中的任何一个都有关于在哪里可以find这样的信息来源的良好信息?
如果是这样,那么当有补丁可用于您感兴趣的软件中的已知漏洞时,是否有这样的服务能够提醒您?
不知道downvotes是关于什么,我不清楚? 我的问题是OT吗? 我只是想把它放在那里,我并不是暗指打破理论上的漏洞是一个坏主意或浪费时间。
我只是说出我现实的压抑现实,在一个可怕的经济体中为一家小公司工作,我希望能够完成6人的工作。 不像下个月那样制作工资单的现实比我没有时间处理的理论安全漏洞更可能是我公司的倒闭。
我只是因为没有公开的漏洞代码而小心忽视这些漏洞 – 而那些发布到slashdot的漏洞是非常明显的,所以有重要的软件修补程序随时可以发布,有或没有公开漏洞代码。 大部分没有。
但是,请记住,一旦针对漏洞发布了补丁程序,即使是一个被私下报告的补丁程序,这个补丁程序也一无所有 – 通常可以根据补丁程序中的更改进行反向devise。
所有这一切,我可以肯定的是,它是疲劳试图跟上所有你感兴趣的软件补丁疲劳。有大量的资源在那里。
一个select是让你的系统自己留意事情 – 从微软世界的WSUS发送电子邮件更新,在Linux的包装pipe理器是一个很好的资源,但往往会留下空隙 – WSUS不会给你第三方软件,软件包更新可能会延迟,而且不会涵盖软件包中未安装的软件。
仔细观察供应商的公告渠道会给你一个更好的图像,但是你需要对每一个进行一些研究。
对于你所引用的那些人:
还有CVE RSS feeds的firehose选项,但这可能不是你想要的通知 – 但CVE无疑是search特定产品信息的好资源,而他们提供的CVSS分数是一个很好的资源来确定漏洞的严重程度。
诚实地看着“狂野的代码”可能会在你的需求的兔子洞下太多。 我build议把你的信任放在你的供应商身上,否则会得到新的供应商 – 但是如果你决定了,那么这里有一些资源: 完整披露清单和漏洞利用数据库 。
步骤1:订阅所有您在所述服务器上安装的所有“通知”和/或“安全”邮件列表。 这样,只要开发者公布这些信息,你就会收到通知。 这些应该是相当低的数量,这是我的经验,如果在这里宣布漏洞,你可能应该采取行动。
第2步:订阅bugtraq邮件列表: http : //www.securityfocus.com/archive 。 Bugtraq是我能想到的最好的地方,可以跟踪出现的漏洞。 这可能是一个痛苦,因为它是一个嘈杂的邮件列表。 不过,跟踪这个列表也是值得的。
你有一切都错了。 你会浪费更多的时间,试图吸收和过滤任何新闻或漏洞网站(s)到一个有凝聚力的东西,比你刚才得到的更新完成。 你所要求的只是在行业内没有做到,因此没有一个容易的来源被“你所需要的”所过滤。 另外,还有一个真实的,丑陋的事实,坏人不会告诉我们什么时候他们采取了一个已知的,理论上的,威胁性的攻击。
你应该问的是,一个完全水下的系统pipe理员如何能够回到更新他们所有的机器,服务和应用程序的轨道上。 这是我们必须做的事情! 😉
已知漏洞的好列表是SecurityFocus漏洞列表 。 在安全焦点新闻 源和Packetstorm源上经常列出实际的野外漏洞利用。
然而,我同意其他人的观点,只关注公众所知的漏洞是浪费时间 – 这是坏人而不是公众所知道的脆弱性是真正的危险。
你所能做的就是确保你所有的软件保持最新状态,严格遵循最好的日志logging和安全实践。