Hirdetés

2017. augusztus 18., péntek

Gyorskeresés

Hozzászólások

(#1) gabor7th


gabor7th
(őstag)

"hogy ha egy feltárt sebezhetőség hónapokig javítatlan marad, az komoly kockázatot jelent." Rengeteg sebezhetőség van amit kihasználnak és nem is tudják, hogy létezik. Szóval hamis biztonságérzet az, hogy ha havonta jön a frissítés akkor majd minden oké lesz.

A számítástechnika új negatív trendjei: ujtechkor.blog.hu

(#2) joghurt válasza gabor7th (#1) üzenetére


joghurt
(őstag)

Nincsen hamis biztonságérzet, csak épp a támadási felület jóval nagyobb, ha ismertté vált sebezhetőségeket nem foltoznak hónapokon át. A közel 300 folt nagy része valószínűleg nem a múlt héten készült el; simán ki lehetett volna adni már rég.

A ritka kiadásoknak egyetlen oka van: az egyszerűbb tesztelés. Nem kell háromszázszor egyenként végignyomni a kiadás előtti ellenőrzéseket (kompatibilitás, nem ront-e el valami mást stb.), hanem elég egyszer; hiba esetén is csak párszor.

A tej élet, erő, egészség.

(#3) -Zeratul-


-Zeratul-
(őstag)

Kíváncsi lennék azért, hogy a világon hol van ez úgy megoldva, hogy tényleg naprakészek az Oracle rendszerek és folyamatosan rakják fel az új javításokat rövid időn belül.

Nem csak ilyen javítócsomagok vannak ám, szoktak lenni soron kívül érkező, 1-1 hibára vonatkozó javítások is, az Oracle-nél is, tehát a lehetőség adott a frissítésre azoknak, akik tényleg akarják.

Ezen kívül az ügyfelek egy része nem is tudja, hogy vannak Oracle patch-ek.
Aki tudja, azok közül néhány helyen eleve supportot sem vesznek, mert úgy olcsóbb, így nem járnak nekik a patch-ek.
Akinek meg van supportja, és hozzáfér a javításokhoz, az meg magasról tesz az egészre.
Amikor szóba hozom, hogy rakjunk fel egy ilyen negyedéves csomagot, akkor mintha a falnak beszélnék. E-mailre válasz sem jön, telefonon vagy személyesen meg csak a kifogások.
Vannak olyan helyek (bank, telco), ahol az a "policy", hogy nem raknak fel javításokat, csak alap release-t, tehát eleve meg sem próbálják felrakni ezeket a patch-eket, csak akkor, amikor már előjött a hiba. Mindig azzal védekeznek, hogy jaj hát senki nem fogja letesztelni azt a verziót, és ezzel el van intézve.
De kb. 1 hónapja volt egyik ügyfélnél olyan hiba, ami miatt az adatbázisuk használhatatlanná vált, korábbi mentést kellett visszatölteni, ez ugye adatvesztés. A hiba ismert és több, mint 1 éve javítva van. A mentést visszaállították, a javítást azóta sem telepítették.
Amikor van valami hiba, és lehetne rá patch-et telepíteni, még akkor is inkább az a kérdés, hogy nincs-e helyette valami workaround.
Egy csomó helyen van cluster meg ilyen meg olyan HA megoldás, de még sehol nem láttam úgy összerakva a rendszert, hogy online menet közben lehessen pl. adatbázis patch-et telepíteni, pedig technológiailag megoldott. Ha kimondom azt, hogy akkor a patch telepítéséhez kell pár perc leállás, vagy esti/hétvégi munka, már ott elbukik az egész.
Azon a néhány kivételes helyen pedig, ahol felrakják, vagy megkérnek, hogy rakjuk fel a javításokat, legalább fél-1 éves lemaradásban vannak. A legtöbb egyéb rendszer pedig több éves lemaradásban van.

Én addig akárhova mentem, sehol sem volt annyira fontos a security, hogy azért panaszkodjanak, hogy miért csak 3 havonta jönnek a patch-ek.

De pl. ma is, jött az automatikus e-mail az Oracle-től, hogy elérhető az új javítócsomag, ezt mindenféle vezető meg manager szinten is megkapják egyes helyeken, és szokták forwardolni az üzemeltetésnek. Ha visszaírok, hogy ennek a telepítése mivel jár, akkor rögtön nem fontos, és el van felejtve.

(#4) borg25


borg25
(fanatikus tag)

Azért nem eszik olyan forrón azt a kását. A cím alapján elsőre az ugrott be, hogy te jó ég 300 hiba a 12c-ben, merthogy számomra, ahogy gondolom a többség számára is Oracle = adatbázisszerver. Tudom megvette a sunt, ezért övé a java, MySQL-t is tőle lehet letölteni, sőt találkoztam a „csodás” vállalatirányítási rendszerével is, de elsőre akkor is a 12c ugrik be, mint a cég sikerterméke. Ha azt nézem mekkora portfolióra oszlik szét a 300 hiba nem is olyan sok. Ennyit szerintem az M$ vagy az IBM is megtermel…
Miért probléma, hogy csak negyed évente van frissítés? Egy adatbázisszerver nagyon nem Vér Pistike MySQL-el megtámogatott webszerverecskéje. Az egy dolog, hogy kijött a frissítés, az pedig egy másik, hogy a teszt síkra felrakják a javítást, letesztelik, és ha minden jól megy, akkor a következő change ablaknál mehet az éles síkra is. Szerintem kevés cégvezető van, aki attól parázik, hogy egy hete kijött a javítás, meg 3 hónapja ismert hiba, és még mindig nincs kint a patch az éles síkon. Inkább attól szoktak parázni, hogy pár napos tesztelécske után kimegy a javítás az éles síkra, és ledöglik a könyvelés.
Javaban írt programnál még nagyobb a kockázat, hogy megy-e az új Java-val is.
Szóval nem hiszem, hogy annyira SOS-be frissítenék nagyvállalati termékeket. Főleg, ha kívülről nehezen elérhető. Egy nyilvános webszerver más tészta, de ez nagyon más.
Kérdés: Mennyivel lenne jobb, ha havonta, két hetente adna ki javítást? Egyik hónap java, másik, MySQL, aztán Oracle 12c. Jah, hogy akkor is negyed évente jön frissítés a 12c-re? Ugyanott lennénk...

[ Szerkesztve ]

(#5) cami][us


cami][us
(fanatikus tag)
LOGOUT blog

[link]

I'm ayy lmaoing at your life

(#6) leslieke


leslieke
(PH! félisten)

Hogy pozitív példa is legyen: nálunk telepitve voltak és lesznek a frissítések/javítások.

A sörben az a jó, hogy legyél bárhol a világon, kizárólag az első háromnak fáj az ára!

(#7) Dare2Live válasza -Zeratul- (#3) üzenetére


Dare2Live
(PH! nagyúr)

"Vannak olyan helyek (bank, telco), ahol az a "policy", hogy nem raknak fel javításokat, csak alap release-t..."

és mit várnak? Fut azóta is heartbleeddel, nem mindha havonta nem jönne pár csodás CVE kb mindenhova... az jár ki be még backendre is aki akar.

Magunkból kiinduva bejön vmi 90%ban van rá 3hónap. 1hó végén megy tesztre, +1hó teszt után megy élesre. Esetleg van egy azaz egy darab ügyfél ahol évi 2 service window van és megértette kockázatot de ez egy darab.
Heartbleed javítás publikálás napján 1hón belűl élesre is fel kellett rakni.

borg25: A baj a lassúság. Kijön egy HB, poodle, akármi... és majd 3 hónap múlva lesz rá patch? Mindezt enterprise vonalon?

[ Szerkesztve ]

Szerintem.... The things we make ... make us.  -~- ..And on the 7th day, GOD went windsurfing...

(#8) GoodSpeed


GoodSpeed
(Jómunkásember)
LOGOUT blog (1)

No igen, én is frissítettem ma a Java a Firefox és a Chrome mellett :) Anyumnál a Java le szedem. Csak a CIB miatt volt fent, mert még kellett néznem valamit, és nem volt nálam akkor a mobil Bank : )

youtube.com/gsprof Huawei MediaPad M3 8.4 4G/LTE 64 GB ROM/4GB RAM Android 7.0 Nougat

(#9) -Skylake- válasza GoodSpeed (#8) üzenetére


-Skylake-
(senior tag)

Nem a home usereknel jelenti ez a problemat, hanem a nagyvallalati szektorban.

"Nem nézem le a funkcionális analfabétákat. Ezt kikérem magamnak." Abu85

(#10) borg25 válasza Dare2Live (#7) üzenetére


borg25
(fanatikus tag)

A gond inkább akkor van, mikor a gyártó tesz arra, hogy bugos a terméke, és csak akkor kezd el javítócsomagot csinálni mikor a sebezhetőség publikus lesz.
Semmi baj nem lenne, ha a sebezhetőség felfedése után egyből megcsinálnák a javítást, és a következő ciklusnál - legyen az 3 hónap múlva - kiadnák és akkor jelentenék be a publikumnak is a sebezhetőséget.
Onnantól kezdve tényleg a használó vállalaton múlik a biztonság.

Ameddig nincsenek automatikus tesztek addig nem lesz felgyorsítva a tesztelés menete, és marad ez a döcögős stílus. Tudom, ezer éve van rá program, és api is, de a cégeket nem igazán izgatja. Lényegesebb az ár. Egy fejlesztésnél pedig olcsóbb ha a tesztelés úgy megy, hogy van egy tesztelési forgatókönyv, azt az átvételnél lenyomkodják és kész. Hogy az később is jól jönne, hogy könnyedén le lehetne ellenőrizni, hogy egy másik átalakítás nem érintette-e ezt a modult, az már nem szempont.
Lehetne említeni a fejlesztők felelősségét is, hogy miért nem követelik meg, hogy ők csak automatikus teszteseteket hajlandóak összeállítani. Az egészen addig jól megy, míg a szoftver nincs más alkalmazással összekötve. Onnantól kezdve két fejlesztő cégnek kéne összedolgozni az automatikus tesztelésen. Ez megrendelői szándék nélkül nem lesz.

Tegye fel az a kezét, akinél úgy rendeltek szoftvert, üzemeltetést, hogy a pénz (és az idő) nem számít, a lényeg, hogy stabilan működjön.

(#11) joghurt válasza borg25 (#10) üzenetére


joghurt
(őstag)

Felteszem. :)

Dolgoztam tv-adásokat lebonyolító programon. Ott (értelemszerűen) meglehetősen nagy ciki, ha fekete lesz a képernyő. Vagy nem az a műsor megy le, mint aminek kellene. Vagy jól megdugják őket, ha a reklámok nem akkor és nem annyi, mint ahogy megrendelték, és ahogy engedélyezett. Kicsit ciki, ha a feliratok szétesnek. Stb.

De még az egyetemen is az évfolyam része volt az orvosbiológiai mérnökképzés. Na, ott sem nyerő bent hagyni bugokat.

Kicsit távolabb a KFKI/SZTAKI-s űrműszereknél is hasonló a helyzet. A hibás működés esélyével nincs túl sok értelme felküldeni.

A tej élet, erő, egészség.

(#12) optikus válasza Dare2Live (#7) üzenetére


optikus
(senior tag)

sajnos nalunk is tobb ugyfelnel az a hozzaallas hogy fent van a 11r2 alapkiadas aztan csok. nem tesznek fel semmit, hiaba rimankodom hogy kene mert vannak olyan problemak amikkel kinlodunk kozben ott a peccsben a javitasa. de nem, mer igymegugy es jogom sincs felnyomni. aztan meg jon a level hogy gond van javitsuk a progit. az it meg ugy viselkedik mintha az anyjukat szidnank ha frissitest kerunk es nem teszik meg (egyreszt nem is ertenek hozza, nem is akarnak, es nem is mernek semmilyen kockazatot vallalni). sajna a realitas ez. :O

Buy books not gear.

(#13) Dare2Live válasza optikus (#12) üzenetére


Dare2Live
(PH! nagyúr)

Rengeteg helyen jellemző ez a kit érdekel a security vagy a kínlódás. legyen meg az elvárt/szerződésben lévő 99.7/99.99/99.999%os rendelkezés állás azt csokolom. Vezetőség szempontjából pedig vhol érthető.

"egyreszt nem is ertenek hozza, nem is akarnak, es nem is mernek semmilyen kockazatot vallalni"

Kedvencem egy !13!év uptimeval rendelkező rendszer esete. kék beüzemelte, főiskoláról kikerült infos kapott 2hét okítást azt müködtesse. Persze hozzá se mert nyúlni, abban az állapotban volt amiben 13éve amikor bekapcsolták. Programozó néha a kért változtatásokat megcsinálta de üzemeltetés kimerült annyiban, hogyha beszart az egyik táp, hdd, akkor kijött technikus és kicserélte. 13év neetlés, olvasgatás, kávézgatás... Mondtam is neki, hogyha fel akar mondani szoljon mert megpályáznám... :)

[ Szerkesztve ]

Szerintem.... The things we make ... make us.  -~- ..And on the 7th day, GOD went windsurfing...

(#14) optikus válasza Dare2Live (#13) üzenetére


optikus
(senior tag)

nalunk is volt egy ilyen ugyfel. novelles (!) oracle futott naluk, tizen evig. senki se tudta mi az, egy takaritoszeres szobaban lakott egymagaban bezarva. senki nem tudta mi az, it-k jottek it-k mentek az meg ott ketyegett. aztan elkezdte irogatni a konzolra hogy baj van, par evig irogatta, aztan befosott. ezen volt az egesz ceg penzugyi rendeszerenek a db-je. hetekig allt minden, nem volt ugyfelfogadas, penztarban ujra papiron kezzel kallitottak ki bizonylatokat, stb, szoval volt musor.
az oraclenel tag szemekkel neztek hogy nekik volt novelles verziojuk? support hozza se tudott szagolni, vegul felhajtottak egy ipset svajcbol. valaha ezer eve reszt vett anno annak a fejleszteseben es o ertett hozza valamennyire. persze fizetni kellett mindent, utazas, szallas, eszemiszom, hetekig itt izzadt szo szerint. az adatok nagy reszet kibanyaszta (mert ugye mentes se volt semmilyen formaban, hiaba volt az it-nek szerzodese ra) es sikerult ugy 90%-ban visszatakolni mindent, egy 9i-be. jo kis musor volt, persze az it mindenki masra kente a balhet mert ez eleg nagyra nott. hibas volt a fejleszto, az oracle, de meg a takarito is hogy nem szolt hogy ott egy gep... de hat nem tudtak felmutatni egy db dumpot se, semmit, igy eleg egyertelmu volt, ki is lettek teve miutan ujraindult a rendszer.

Buy books not gear.

Copyright © 2000-2017 PROHARDVER Informatikai Kft.