Las CVE son útiles para todos los actores de la cadena de software (desarrolladores, administradores de sistemas, clientes ...) para decidir si deben o no actuar en el software existente. La prueba de conceptos se redacta deliberadamente porque, como voy a mostrar, lleva mucho tiempo parchear las instalaciones reales .
En un mundo teórico, los parches se implementan inmediatamente en todos los dispositivos. Esto garantiza que todos los dispositivos estén parcheados y protegidos. Esto es imposible.
Elige Android ...
- T0: una vulnerabilidad en el kernel de Linux, que afecta al kernel de Android, se encuentra parcheada
- T1: Google parchea AOSP y lanza el parche
- T2: los fabricantes de dispositivos móviles (por ejemplo, LG, Motorola, Samsung) reciben el parche y lo aplican a su compilación personalizada
- T3: el parche se entrega a los consumidores mediante OTA
- T4: una empresa con miles de dispositivos empresariales Android del mismo fabricante implementa la actualización en los dispositivos de trabajo
Elige Apache ...
Esto es similar a un caso que me sucedió durante mi trabajo
- T0: se encuentra una vulnerabilidad en Apache y está parcheada, se lanza Apache
- T1: una gran empresa que usa Apache para muchas aplicaciones instaladas internamente en una variedad de servidores programa la actualización
- T2 a T100: todas las instancias de Apache se actualizan en los sistemas corporativos, con la participación de proveedores y gerentes para cumplir y programar un plan de prueba
En resumen
Los CVE son útiles para determinar "qué tan antiguo" y "qué tan arriesgado" es un software. Al examinar la gravedad y los componentes afectados, el personal de TI puede decidir si, por ejemplo, no actualizar por ahora, actualizar de inmediato, aplicar medidas de seguridad temporales adicionales (por ejemplo, firewall, proxy).
En el mundo corporativo hay una lentitud intrínseca en la actualización de software. Veo bancos que ejecutan Java < = 1.5 (de nuevo, no más tarde de 1.5 ) porque las versiones posteriores no han sido certificadas y Java 1.7 ya está al final de su vida útil.
Sabemos que las empresas todavía ejecutan XP porque no saben si toda su base de software existente se ejecuta en Windows 7, ni siquiera se atreven a probar 10.
Un CVE grave, según mi experiencia, puede ser la razón para priorizar una actualización de software en un escenario corporativo estructurado.