Escenario: se le presenta un CVN que detalla que una parte del software común que ejecuta con privilegios de root tiene una vulnerabilidad que le permite a un usuario sin privilegios crear o sobrescribir cualquier archivo, incluidos los archivos de root.
Después de leer más, encuentras que la vulnerabilidad solo afecta a v1.6 y v1.7. El error se corrigió en v1.8 y el software más reciente es v1.9
Sin embargo, encuentra que la versión que está ejecutando en su Enterprise es v1.2 que no está afectada por esta vulnerabilidad en absoluto.
Mi pregunta es esta:
¿Se recomienda actualizar a una versión más allá de las versiones que contienen la vulnerabilidad, aunque la versión que está utilizando no está afectada?
Puedo prever que podría haber diferentes puntos de vista.
Por un lado, al permanecer en una versión anterior a las versiones vulnerables, es posible que el software se actualice a una versión que contenga vulnerabilidades debido a un error humano. Digamos que alguien que cuida el embalaje no detecta este problema.
Sin embargo, por otro lado, se puede decir que debemos confiar en los procesos y procedimientos establecidos que deberían evitar este error humano.
Quizás la respuesta a una gran parte depende de su apetito y evaluación o riesgo. Realmente me gustaría condensar esto en una declaración de mejores prácticas sin creencias subjetivas.