Preguntas con etiqueta 'vulnerability-management'

4
respuestas

¿Debería mencionarse en el informe de vulnerabilidad una vulnerabilidad en un servicio que está presente en el dispositivo, pero que no se está ejecutando y no se usa en absoluto?

Digamos que he escaneado nuestro Cisco Router y devolví 20 vulnerabilidades. Sin embargo, la mayoría de ellos están vinculados a servicios específicos que este enrutador no está ejecutando, por ejemplo, CVE-2016-6380 - no estamos ejecutando el s...
hecha 27.07.2017 - 13:28
2
respuestas

¿Hay entradas comunes de debilidad (CWE) aplicables a las debilidades de seguridad del hardware?

Parece que no puedo encontrar un CWE adecuado para clasificar las debilidades de seguridad específicas del hardware. En particular, estoy buscando un CWE que se aplique a la falla de energía o la falla del reloj contra un microcontrolador o mi...
hecha 11.05.2017 - 12:27
1
respuesta

¿Los complementos de Wordpress vulnerables y inactivos siguen siendo inseguros?

Cuando instalas un complemento en WordPress puedes elegir activarlo o desactivarlo. Supongamos que tiene un complemento cuya versión más reciente es vulnerable a XSS, por ejemplo, y está esperando que se lance una solución de seguridad. ¿Debo...
hecha 22.06.2016 - 16:46
2
respuestas

Vulnerabilidades de WD My Cloud: ¿qué hay en riesgo?

Recientemente se encontraron alrededor de 70 vulnerabilidades en los dispositivos "My Cloud" de Western Digital. Tengo curiosidad por saber más sobre el alcance de estas vulnerabilidades. Todas las vulnerabilidades han sido listadas por Eploite...
hecha 09.03.2017 - 20:32
3
respuestas

CVEs agregados por lenguaje de programación?

¿Hay alguna forma de buscar en la base de datos CVE por lenguaje de programación? Por ejemplo, consideraría CVE-2015-4852 para ser una vulnerabilidad específica de Java, ya que el ámbito de la vulnerabilidad es la biblioteca de lenguaje d...
hecha 27.04.2016 - 04:11
2
respuestas

¿Por qué las puntuaciones CVSS difieren tanto entre Redhat y la página NVD?

tome CVE-2016-7872, por ejemplo. en la página web de la Base de datos de vulnerabilidad nacional , podemos ver que la puntuación de cvss2 y cvss3 es 9.8 y 10.0 respectivamente. pero en la página de avisos de seguridad de redhat , son 6.8...
hecha 17.08.2017 - 09:19
2
respuestas

¿Qué hacer si cree que descubrió una vulnerabilidad de día cero? (estilo de sombrero blanco) [duplicar]

¿Alguien descubrió una vulnerabilidad de día cero? Sé que algunos hackers de sombrero negro venden ese tipo de información en la web profunda. Pero si eres un sombrero blanco ... ¿Qué pasos hay que realizar? ¿Cómo asegurar que un CVE...
hecha 24.05.2017 - 22:26
3
respuestas

Quiero contratar a alguien en Upwork para instalar un bot de bitcoin en un servidor en la nube. ¿Qué vulnerabilidades debo vigilar?

Contexto Intenté instalar Tribeca (un bot de comercio de bitcoins) ayer mismo, pero lo estropeé de alguna manera, ya que no soy muy familiarizado con las tecnologías Docker / Git / NPM / mongoDB ( un poco de conocimiento es peligroso &...
hecha 15.03.2018 - 01:03
2
respuestas

Cómo determinar la versión mínima del Kernel de Linux requerida para una vulnerabilidad dada

Tengo que hacer un seguimiento de las vulnerabilidades de un ish heredado (3.12) Kernel de Linux. Para este propósito, estoy buscando en varias sitios como NVD nuevas vulnerabilidades. Recientemente, encontré un problema donde la versión afect...
hecha 30.03.2016 - 13:51
1
respuesta

Adobe Flash y Meltdown / Specter

Muchos navegadores han recibido actualizaciones para protegerse contra los ataques de Meltdown y Specter. Supongo que estos parches se relacionan (únicamente) con la ejecución de JavaScript dentro del navegador. Java en el navegador está casi mu...
hecha 26.01.2018 - 14:47