¿Dónde o cómo puedo encontrar una lista de las vulnerabilidades de seguridad no parcheadas para un sistema operativo fuera de soporte? Quiero estar seguro de poder informar a los propietarios de servidores de los riesgos reales de permanecer en un sistema operativo obsoleto. Puedo obtener una lista de todos los CVE, pero no he podido filtrar por estado de parche.
Por lo general, lo que hago es ejecutar un análisis de vulnerabilidad en la máquina. Eso cubre más que solo las explotaciones irreparables y puede involucrarse en cosas como la falta de soporte para protocolos más nuevos o estándares criptográficos más nuevos.
Una exploración mostrará la lista de vulnerabilidades específicas de esa máquina, así como las otras debilidades a las que podría estar sujeta.
Además, un escáner clasificará la gravedad de los riesgos, lo que facilitará la comunicación a las partes interesadas.
Sé que antes pedías una base de datos, pero un escáner contiene esta base de datos y la filtra para el objetivo específico.
Detalles del CVE indica que hubo 414 vulnerabilidades reportadas con 98 parches. Tenga en cuenta que un service pack puede haber solucionado muchas vulnerabilidades, por lo que los números no son indicativos de que Windows 2003 aún contenga 316 vulnerabilidades (414-98). Esto tampoco podría incluir cero días, ni vulnerabilidades de terceros (por ejemplo, Adobe, JAVA, etc.)
Lea otras preguntas en las etiquetas patching known-vulnerabilities