Software empresarial en el que las versiones posteriores tienen una vulnerabilidad de seguridad

2

Escenario: se le presenta un CVN que detalla que una parte del software común que ejecuta con privilegios de root tiene una vulnerabilidad que le permite a un usuario sin privilegios crear o sobrescribir cualquier archivo, incluidos los archivos de root.

Después de leer más, encuentras que la vulnerabilidad solo afecta a v1.6 y v1.7. El error se corrigió en v1.8 y el software más reciente es v1.9

Sin embargo, encuentra que la versión que está ejecutando en su Enterprise es v1.2 que no está afectada por esta vulnerabilidad en absoluto.

Mi pregunta es esta:

¿Se recomienda actualizar a una versión más allá de las versiones que contienen la vulnerabilidad, aunque la versión que está utilizando no está afectada?

Puedo prever que podría haber diferentes puntos de vista.

Por un lado, al permanecer en una versión anterior a las versiones vulnerables, es posible que el software se actualice a una versión que contenga vulnerabilidades debido a un error humano. Digamos que alguien que cuida el embalaje no detecta este problema.

Sin embargo, por otro lado, se puede decir que debemos confiar en los procesos y procedimientos establecidos que deberían evitar este error humano.

Quizás la respuesta a una gran parte depende de su apetito y evaluación o riesgo. Realmente me gustaría condensar esto en una declaración de mejores prácticas sin creencias subjetivas.

    
pregunta Peter Rhodes 03.12.2017 - 19:56
fuente

1 respuesta

1

Parece que asumes que las evaluaciones de riesgo pueden estar desprovistas de creencias subjetivas.

La respuesta es para realizar una evaluación de riesgos basada en todos los factores involucrados y los inferir factores que son importantes para su evaluación de riesgos. No hay manera de evitar la creencia subjetiva. Y no hay "mejores prácticas" en cuanto a cuándo actualizar cuando no hay una vulnerabilidad en la versión actual.

Cada software es único y, además, cada actualización de cada software es único. No se puede hacer un análisis cuantitativo sobre la probabilidad de errores futuros basados en errores pasados, o basados en los errores experimentados por programas similares, por las razones que mencionas:

  1. una actualización puede solucionar fundamentalmente una función defectuosa que reduce la probabilidad de problemas futuros
  2. cada actualización puede introducir nuevos errores

Sí, puede inferir algunos factores relevantes basados en las actualizaciones, lo que se solucionó y otros factores ambientales, pero eso puede requerir que uno haga muchas conjeturas. Puede ser mejor revisar y probar el código usted mismo, si eso es posible, pero eso también requiere que confíe en su proceso de prueba. (Si los procesos de prueba fueran una medida completa y objetiva, entonces el software no tendría ningún error, para empezar).

Eso significa que inferencia , experiencia y opinión de expertos son factores importantes para tomar la decisión de actualizar de una versión a otra ( y en todas las evaluaciones de riesgo).

Por lo tanto, la mejor práctica es realizar una evaluación de riesgos que incluya las creencias subjetivas de los expertos cuyas opiniones importan y los procesos en los que confía.

    
respondido por el schroeder 03.12.2017 - 20:19
fuente

Lea otras preguntas en las etiquetas