如果这个问题之前已经被问过或者与主题无关,请原谅我。
我之前安装的几个安全补丁都是从新闻文章中发现的,这些文章公开讨论了适用于我服务器上的软件的安全漏洞。以下是我从一篇文章中读到的两个此类漏洞示例。
不用说,我很不高兴发现这些漏洞存在于 Slashdot 上。我已经修补了这些漏洞,但我希望有某种简单的方法可以收到通知,或者有位置可以让我轻松搜索与我有关的已知漏洞。
我已经处于非常糟糕的状态,因此定期更新发布的安全补丁是完全不可能的。我需要忽视“理论上的弱点”,直到它们成为现实。
你们当中有人知道在哪里可以找到这样的信息来源吗?
如果是的话,当您感兴趣的软件中已知漏洞的补丁可用时,这些服务是否有能力提醒您?
编辑:
不确定反对票是怎么回事,我说得是不是不够清楚?我的问题太过分了吗?我只是想说清楚,我绝不是在暗示修补理论上的漏洞是个坏主意或浪费时间。
我只是在陈述我令人沮丧的现实情况,在糟糕的经济环境下为一家小公司工作,而我需要完成 6 个人的工作。下个月无法支付工资的现实更有可能导致我公司的倒闭,而不是我没有时间解决的理论上的安全漏洞。
答案1
我提醒大家不要因为没有公开的漏洞利用代码而忽视漏洞 - 虽然发布到 slashdot 的漏洞非常显眼,但重要的软件修复程序一直在发布,有或没有公开的漏洞利用代码。大多数情况下没有。
然而,请记住,一旦发布了针对漏洞的补丁,即使是私下报告的漏洞,秘密也会被泄露——攻击通常可以根据补丁中的更改进行逆向工程。
话虽这么说,我当然可以理解,试图跟上你感兴趣的所有软件的补丁是件很累的事。那里有大量的资源。
一种选择是让您的系统自己留意事物 - 来自 Microsoft 世界中的 WSUS 和 Linux 方面的软件包管理器的电子邮件更新是一个很好的资源,但通常会给您留下空白 - WSUS 不会为您提供第三方软件,并且软件包更新可能会延迟,并且不会涵盖未从软件包管理器安装的软件。
关注供应商的发布渠道会让你有更深入的了解,但你需要对每个渠道进行一些研究。
对于您引用的内容:
还有消防水带选项CVE RSS 源,但这可能不是您真正想在通知中寻找的内容 - 但 CVE 无疑是搜索特定产品信息的绝佳资源,而他们提供的 CVSS 分数是确定漏洞严重程度的良好资源。
说实话,关注“野生代码”可能太离谱了,不符合您的需求。我建议您信任您的供应商,或者寻找新的供应商 - 但如果您下定决心,那么这里有一些资源:全面披露列表和漏洞数据库。
答案2
步骤 1:订阅您在该服务器上安装的所有程序的 -announce 和/或 -security 邮件列表。这样,开发人员发布这些消息后,您就会立即收到通知。这些消息的数量应该相当少,而且根据我的经验,如果这里宣布了漏洞,您可能应该采取行动。
第 2 步:订阅 bugtraq 邮件列表:http://www.securityfocus.com/archive。我认为 Bugtraq 是跟踪漏洞的最佳地点。跟踪它可能很麻烦,因为它是一个嘈杂的邮件列表。不过,跟踪这个列表也可能是值得的。
答案3
你完全搞错了。你会浪费更多时间试图吸收和过滤任何新闻或漏洞网站,使之成为有凝聚力的内容,而不是直接完成更新。你所要求的在行业中还没有实现,因此没有一个简单的来源可以按“你需要的”进行过滤。此外,还有一个丑陋的真实事实是,当坏人将已知的、理论上的威胁变为实弹攻击时,他们并没有告诉我们。
您应该问的是,一个完全处于水下的系统管理员如何才能重新回到正轨,更新他们的所有机器、服务和应用程序。这是我们很多人都必须要做的事情!;-)
答案4
已知漏洞的一个很好的列表是SecurityFocus 漏洞列表。实际的野外攻击通常列在安全焦点新闻提要和Packetstorm 提要。
然而,我同意其他人的观点,认为只关注公众所知的漏洞是浪费时间——真正的危险是那些被坏人知道但公众不知道的漏洞。
您所能做的就是确保所有软件保持最新,并严格遵循最佳日志记录和安全实践。