Autor Wątek: SLES 11 SP1 - jak to jest z update ?  (Przeczytany 8850 razy)

0 użytkowników i 1 Gość przegląda ten wątek.

toyatoya

  • Początkujący
  • *
  • Wiadomości: 2
SLES 11 SP1 - jak to jest z update ?
« dnia: Kwiecień 24, 2012, 10:27:23 am »
Posiadam kilka SLES 11 z SP1, updatowanych na bieżąco, ładnie widoczne w Novell Customer Center. Aktualizacje włączone.

Ręcznie do aktualizacji używam linii poleceń:
#zypper ref -s
#zypper up -t patch
#zypper up -t patch
#for item in `cat /etc/products.d/*.prod|grep '<product>'|sed s/\<*.product\>//g |sed s/" "//g`; do zypper in -t product $item;done
#suse_register -d 2 -L /root/.suse_register.log
#zypper ref -s
#zypper lr
#zypper dup

lub korzystam z YAST.

Dotąd żyłem w świadomości, że to wystarczy aby utrzymać  serwer na przyzwoitym poziomie bezpieczeństwa. Aby uniknąć problemów z utrzymaniem wersji pakietów,  starałem się nie instalować/kompilować dodatkowego oprogramowania z poza repozytoriów SLES na kluczowych maszynach.
Jedna po wykonaniu audytu okazało się że jest troszkę do roboty.
np.
CVE-2010-0382 - podatność BIND
podobnie dla CVE-2011-3208 - podatność Cyrus IMAPD

Wersje oferowane w repozytoriach są podatne na ww błędy. Dlatego nasuwa mi się pytanie w jakim stopniu mam ufać updateom oferowanym przez Novell - oczywiście upraszczając najbardziej szczelny powinien być system. Dochodzę do wniosków że dodatkowe usługi jakie są oferowane nie są zawsze aktualizowane do najnowszych - bezpiecznych wersji.
Czy jestem w błędzie? Czy tylko nieświadomie wstukuje swoje żale ? Jak to wygląda w rzeczywistości ?


ps.
Widzę że wyszedł już SLES 11 SP2, mam nadzieję że on rozwiąże część problemów, ale nie jest on dostępny jeszcze dla mnie w YAST.

Fisiu

  • Geeko's friend
  • Maniak SUSE
  • *
  • Wiadomości: 4632
      • la manzana
Odp: SLES 11 SP1 - jak to jest z update ?
« Odpowiedź #1 dnia: Kwiecień 24, 2012, 12:04:46 pm »
Myślę, że najpewniej będzie skontaktować się ze wsparciem, za które zapłaciłeś nabywając licencję na SLE.
Albo od razu z ludźmi od bezpieczeństwa produktów SUSE: http://www.suse.com/support/security/contact.html

toyatoya

  • Początkujący
  • *
  • Wiadomości: 2
Odp: SLES 11 SP1 - jak to jest z update ?
« Odpowiedź #2 dnia: Kwiecień 26, 2012, 08:50:37 am »
Skontaktowałem się security/suse, otrzymałem wystarczające informacje, by stwierdzić że byłem w błędzie.
Pakiety są aktualiowane na bieżąco, wnioskuję że skaner przy audycie widział tylko wersję, ilość fix dla danej wersji nie była dla niego dostępna.
Przy weryfikacji podatności należy się opierać o CVE i bugzillę novella.

Poniżej mała procedura:

Weryfikacja podatności SLES wg bazy CVE:

1. Odszukanie w bazie Novell dla produktu SUSE poprawek bezpieczeństwa wg CVE:

http://support.novell.com/security/cve/

2. W CVE sprawdzamy powiązania z listą Novella:
Novell Bugzilla entry: XXXXXX, YYYYYY
https://bugzilla.novell.com/

3. Weryfikacja w systemie - sprawdzanie zmian i patchowania pakietu:

rpm -ql --changelog nazwa_pakietu | less
rpm -ql --changelog nazwa_pakietu | grep –E „CVE|XXXXX|YYYYY”

4. Sprawdzenie dostępnych poprawek bezpieczeństwa powiązanych z CVE:
   
zypper lp --cve=CVE-id-id
zypper patch --cve=CVE-id-id

Dziękuję Fisiu za naprowadzenie :)