О детекте уязвимостей софтов, установленных не из официального репозитория Linux-вендора. У моего коллеги по PT ESC Владислава Молькова на прошлом PHDays был доклад про детектирование уязвимостей Linux-хостов. Один из кейсов там был про софт установленный не из официального репозитория Linux-вендора, а из сторонних пакетов вендора софта (допустим, nginx) или из исходников. Как для такого софта уязвимости искать? Ведь детект по бюллетеням или OVAL-контенту Linux-вендора тут не поможет. 🤷♂️
Инсталляцию и версию запущенного софта можно найти в "ps -eo pid,cmd". Для nginx будет а-ля "nginx/1.22.1".
А откуда брать для них известные уязвимости? Брать их придётся из бюллетеней вендора софта, таких как nginx security advisories.
Т.е. для каждого подобного софта, придётся:
🔹 написать "непакетные" детекты
🔹 найти бюллетени вендора этого софта и превратить их в правила детектирования
И всё это для того, чтобы найти уязвимости Linux-софтов там, где сканер попроще их не найдёт. 😉
Привет! Меня зовут Александр. Я специалист по Управлению Уязвимостями. Подробнее обо мне можно прочитать здесь. Приглашаю подписаться на мой канал в Telegram @avleonovrus. Я обновляю его чаще, чем этот сайт. Вы можете обсудить мои посты или задать вопросы в @avleonovchat или в группе ВКонтакте.
And I invite all English-speaking people to another telegram channel @avleonovcom.