已知漏洞利用資訊的便捷來源(非理論性)
如果這個問題以前被問過或離題,請原諒我。
我過去安裝的幾個安全更新檔是通過閱讀新聞文章發現的,這些文章公開討論了適用於我伺服器上軟體的安全漏洞。以下是我從一篇文章中讀到的兩個此類漏洞利用範例。
不用說,我很不高興我不得不在 Slashdot 上發現這些漏洞,在所有地方。我已經修補了這些,但我希望有一些簡單的方法來獲得通知,或者我可以輕鬆地在野外搜尋與我相關的已知漏洞的位置。
我已經在主要的負面時間執行,因此在發布安全更新檔時定期更新它們是完全且毫無疑問是不可能的。我需要忽略“理論漏洞”,直到它們變得實用。
你們中的任何人都知道在哪裡可以找到這樣的資訊來源嗎?
如果是這樣,當您感興趣的軟體中的已知漏洞可用更新檔可用時,是否有任何此類服務能夠提醒您?
編輯:
不知道反對票是關於什麼的,我不清楚嗎?我的問題是 OT 嗎?我只是想把它放在那裡,我並不是以任何方式暗示修補理論上的漏洞是一個壞主意或浪費時間。
我只是在陳述我的處境令人沮喪的現實,在一家經濟糟糕的小公司工作,我需要做 6 個人的工作。沒有像下個月那樣發放工資單的現實更有可能是我公司的垮台,而不是我沒有時間解決的理論上的安全漏洞。
我警告不要僅僅因為它們沒有公開可用的漏洞利用程式碼而忽略漏洞 - 雖然那些發佈到 slashdot 的漏洞是高度可見的,但有重要的軟體修復程序一直在發布,有或沒有可用的公共漏洞利用程式碼。大多沒有。
但是,請記住,一旦針對某個漏洞發布了更新檔,即使是私下報告的漏洞,也無濟於事——攻擊通常可以根據更新檔中的更改進行逆向工程。
綜上所述,我當然可以理解,努力跟上您感興趣的所有軟體的更新檔是一件很累的事情。那裡有大量的資源。
一種選擇是讓您的系統自己關注事物 - 來自 Microsoft 世界的 WSUS 的電子郵件更新和 linux 方面的包管理器是一個很好的資源,但通常會給您留下空白 - WSUS 不會給您第三方軟體和軟體包更新可能會延遲,並且不會涵蓋未從軟體包管理器安裝的軟體。
密切關注供應商的公告渠道將為您提供更好的畫面,但您需要對每個渠道進行一些研究。
對於您引用的那些:
還有CVE RSS 提要的 firehose 選項,但這可能不是您在通知中真正要尋找的 - 但 CVE 無疑是搜尋特定產品資訊的絕佳資源,他們提供的 CVSS 分數是確定漏洞嚴重程度的好資源。
老實說,觀察“野外程式碼”對於您的需求可能太過分了。我建議您信任您的供應商,或者尋找新的供應商 - 但如果您下定決心,那麼這裡有幾個資源:完整披露列表和Exploit DB。