Мониторинг вопросов безопасности в ПО сторонних разработчиков

В последние годы в области информационной безопасности произошло много улучшений, касающихся выработки оценки уязвимости. Угроза проникновения в систему увеличивается вместе с установкой и настройкой утилит сторонних разработчиков, какой бы современной операционной системы это ни касалось.

Оценка уязвимости является ключевым фактором обеспечения защиты, и хотя для базового комплекта FreeBSD выпускаются бюллетени безопасности, но делать это для каждой сторонней утилиты выше возможностей участников Проекта FreeBSD. Существует способ смягчения уязвимостей программного обеспечения сторонних разработчиков и предупреждения администраторов об известных проблемах с безопасностью. Во FreeBSD существует утилита под названием Portaudit, которая служит исключительно этой цели.

Порт security/portaudit обращается к базе данных, обновляемой и поддерживаемой Группой информационной безопасности FreeBSD и разработчиками портов, для получения информации об известных проблемах с защитой.

Для того, чтобы приступить к использованию Portaudit, необходимо установить его из Коллекции Портов:

# cd /usr/ports/security/portaudit && make install clean

В процессе установки будут обновлены конфигурационные файлы для periodic(8), в которые будет добавлена выдача Portaudit при ежедневном её запуске. Проверьте, что ежедневные сообщения электронной почты, касающиеся безопасности, которые посылаются на адрес root, прочитываются. Другой дополнительной настройки больше не понадобится.

После установки администратор может обновить базу данных и посмотреть список известных уязвимостей в установленных пакетах при помощи команды

# portaudit -Fda

Замечание: База данных будет автоматически обновлена при запуске periodic(8); таким образом, предыдущая команду можно полностью опустить. Она требуется только для следующих примеров.

Для аудита утилит сторонних разработчиков, установленных как часть Коллекции Портов, администратору достаточно запускать только следующую команду:

# portaudit -a

Утилита portaudit выдаст примерно следующее:

Affected package: cups-base-1.1.22.0_1

Type of problem: cups-base -- HPGL buffer overflow vulnerability.

Reference: <http://www.FreeBSD.org/ports/portaudit/40a3bca2-6809-11d9-a9e7-0001020eed82.html>

 

1 problem(s) in your installed packages found.

 

You are advised to update or deinstall the affected package(s) immediately.

Перейдя в Web-браузере по показанному URL, администратор может получить более подробную информацию о показанной уязвимости. В неё войдёт перечисление версий, затронутых соответствующей версией порта FreeBSD, а также другие Web-сайты, которые могут содержать бюллетени безопасности.

Если описывать вкратце, то Portaudit является мощной и, при использовании вместе с портом Portupgrade, чрезвычайно полезной утилитой.

Сообщения безопасности FreeBSD

Как многие и высококачественные операционные системы, FreeBSD публикует ''Сообщения безопасности'' (''Security Advisories''). Эти сообщения обычно отправляются по почте в списки рассылки, посвященные безопасности и публикуются в списке проблем только после выхода исправлений к соответствующим релизам. В этом разделе разъясняется, что такое сообщения безопасности, как их читать и какие меры принимать для исправления системы.

Как выглядит сообщение?

Сообщение безопасности FreeBSD выглядит подобно сообщению ниже, взятому из списка рассылки freebsd-security-notifications (http://lists.FreeBSD.org/mailman/listinfo/freebsd-security-notifications).

=============================================================================

FreeBSD-SA-XX:XX.UTIL                                Security Advisory

                                                     The FreeBSD Project

 

Topic:       denial of service due to some problemŒ

 

Category:  core

Module:    sysŽ

Announced: 2003-09-23

Credits:   Person@EMAIL-ADDRESS

Affects:   All releases of FreeBSD‘

           FreeBSD 4-STABLE prior to the correction date

Corrected: 2003-09-23 16:42:59 UTC (RELENG_4, 4.9-PRERELEASE)

           2003-09-23 20:08:42 UTC (RELENG_5_1, 5.1-RELEASE-p6)

           2003-09-23 20:07:06 UTC (RELENG_5_0, 5.0-RELEASE-p15)

           2003-09-23 16:44:58 UTC (RELENG_4_8, 4.8-RELEASE-p8)

           2003-09-23 16:47:34 UTC (RELENG_4_7, 4.7-RELEASE-p18)

           2003-09-23 16:49:46 UTC (RELENG_4_6, 4.6-RELEASE-p21)

           2003-09-23 16:51:24 UTC (RELENG_4_5, 4.5-RELEASE-p33)

           2003-09-23 16:52:45 UTC (RELENG_4_4, 4.4-RELEASE-p43)

           2003-09-23 16:54:39 UTC (RELENG_4_3, 4.3-RELEASE-p39)’

CVE Name: CVE-XXXX-XXXX“

 

For general information regarding FreeBSD Security Advisories,

including descriptions of the fields above, security branches, and the

following sections, please visit

http://www.FreeBSD.org/security/.

 

I. Background”

 

 

II. Problem Description(10)

 

 

III. Impact(11)

 

 

IV. Workaround(12)

 

 

V. Solution(13)

 

 

VI. Correction details(14)

 

 

VII. References(15)

Œ Поле Topic показывает в чем именно заключается проблема. Это обычно введение в сообщение безопасности, упоминающее утилиту, в которой возникла ошибка.

 Поле Category относится к затронутой части системы и может быть выбрана из core, contrib, или ports. Категория core означает, что уязвимость затрагивает основной компонент операционной системы FreeBSD. Категория contrib означает, что уязвимость затрагивает программы, предоставленные проекту FreeBSD, например sendmail. Наконец, категория ports означает, что уязвимость затрагивает программное обеспечение, доступное из Коллекции Портов.

Ž Поле Module указывает на местоположение компонента, например sys. В этом примере мы видим, что затронут модуль sys, следовательно, эта уязвимость относится к компоненту, используемому в ядре.

 Поле Announced отражает дату публикации сообщения безопасности, или его анонсирования. Это означает, что команда обеспечения безопасности убедилась, что проблема существует и что патч помещён в хранилище исходных текстов FreeBSD.

 Поле Credits упоминает частное лицо или организацию, обнаружившую уязвимость и сообщившую о ней.

‘ Поле Affects дает информацию о релизах FreeBSD, к которым относится данная уязвимость. Для базовой системы, просмотр вывода команды ident для файлов, затронутых уязвимостью, поможет определить ревизию. Номер версии портов приведен после имени порта в каталоге /var/db/pkg. Если система не синхронизируется с CVS-хранилищем FreeBSD и не пересобирается ежедневно, высок шанс, что она затронута уязвимостью.

’ Поле Corrected показывает дату, время, смещение во времени и релиз, в котором исправлена ошибка.

“ Зарезервировано для идентификации уязвимости в общей базе данных CVD (Common Vulnerabilities Database).

” Поле Background дает информацию именно о той утилите, для которой выпущено сообщение. Как правило информация о том, зачем утилита присутствует в FreeBSD, для чего она используется, и немного информации о том, как появилась эта утилита.

(10) Поле Problem Description дает более глубокие разъяснения возникшей проблемы. Оно может включать информацию об ошибочном коде, или даже о том, как утилита может быть использована для создания бреши в системе безопасности.

(11) Поле Impact описывает тип воздействия, который проблема может оказать на систему. Это может быть все, что угодно, от атаки на отказ в обслуживании до получения пользователями дополнительных привилегий, или даже получения атакующим прав суперпользователя.

(12) Поле Workaround предлагает тем, системным администраторам, которые не могут обновить систему, обходной путь решения проблемы. Он может пригодиться при недостатке времени, отсутствии подключения к сети или по массе других причин. В любом случае, к безопасности нельзя относиться несерьезно, и необходимо либо применить указанный обходной путь, либо исправить систему.

(13) Поле Solution предлагает инструкции по исправлению затронутой системы. Это пошаговое руководство, протестированный метод восстановления безопасности системы.

(14) Поле Correction Details показывает ветвь CVS (имя релиза с точками, замененными на символы подчеркивания). Здесь также показан номер ревизии каждого файла из каждой ветви.

(15) Поле References обычно упоминает другие источники информации. Это могут быть Web-страницы, книги, списки рассылки и группы новостей.

Учёт используемых ресурсов

Учёт используемых процессами ресурсов представляет собой метод защиты, при котором администратор может отслеживать использование системных ресурсов и их распределение между пользователями для нужд системного мониторинга и минимального отслеживания команд пользователей.

На самом деле здесь есть свои положительный и отрицательные моменты. Положительной стороной является то, что проникновение может быть отслежено до первоначальной точки входа. Отрицательной стороной является объём протоколов, который генерируется при мониторинге, и соответствующие требования к дисковому пространству. В этом разделе администратору даются основы учёта ресурсов процессов.

---

Дата добавления: 2018-10-26; просмотров: 187; Мы поможем в написании вашей работы!

Поделиться с друзьями:

---

---

Мы поможем в написании ваших работ!