Jump to content
  • Announcements

    • Rodion Nagornov

      Долгое сохранение сообщений || Delays while posting   09/20/2017

      По техническим причинам возможно визуально долгое отправление сообщений на форуме. Фактически ваше сообщение публикуется мгновенно - долго отрабатывает графика. В случае подобной ситуации, пожалуйста, сначала обновите страницу (F5) и проверьте, появилось ли ваше сообщение. Не пытайтесь сразу отправить его заново.  || Due to some technical reasons visual delays are possible while message sending. Actually your message is published immediately - just interface works long. In such case, please, do not re-send your message immediately! Press F5 to reload the page and check if your message/topic is published.
Alexander Ilin

Поиск уязвимостей и Патч Менеджмент

Recommended Posts

яву новую хочется, и квип если не сложно )

 

а ещё хочется возможность говорить KSC что ява входящая в сторонние проги (ставящаяся например с raid web console) не считается уязвимостью, так как она не патчится полюбому

Edited by dj_vitaly

Share this post


Link to post
Share on other sites
яву новую хочется, и квип если не сложно )

Уточните, пожалуйста, продолжением какой именно мысли является Ваш пост?

 

 

а ещё хочется возможность говорить KSC что ява входящая в сторонние проги (ставящаяся например с raid web console) не считается уязвимостью, так как она не патчится полюбому

Они не перестают от этого быть уязвимостями. Другой вопрос, что как в основном списке уязвимостей мы по умолчанию не отображаем такие уязвимости (для которых не могут быть применены патчи), так и не будем отображать их по умолчанию и в списках уязвимостей в свойствах конкретного компьютера (там также появится соответствующая настройка фильтрации). Эти изменения уже доступны в патче A.

Share this post


Link to post
Share on other sites
igor7478   
Провели дополнительный анализ возможных ситуаций, в которых может воспроизводиться описанное Вами поведение.

В текущей версии KSC при наличии нескольких применимых обновлений Microsoft Windows, потенциально закрывающих одну уязвимость, мы по определенным критериям выбираем одно из таких обновлений как используемое по умолчанию для закрытия данной уязвимости. Если этого недостаточно для закрытия всех экземпляров данной уязвимости, остальные обновления будут установлены при последующих запусках задачи, либо в случае попадания их в область действия задачи на основании других критериев (например, непосредственно по уровню MSRC). Однако в ближайшей версии мы планируем поменять это поведение, каждый из таких апдейтов будет изначально помечен как связанный с уязвимостью соответствующего уровня важности.

 

Спасибо за ответ!

Вот два скрина.

post-381890-1396558581_thumb.jpg

post-381890-1396558590_thumb.jpg

Share this post


Link to post
Share on other sites
Уточните, пожалуйста, продолжением какой именно мысли является Ваш пост?

 

в разделе программы и уязвимости\обновления програм\ дистрибутив явы не последней версии

Share this post


Link to post
Share on other sites
в разделе программы и уязвимости\обновления програм\ дистрибутив явы не последней версии

С какой периодичностью запускается задача обновления баз Сервера администрирования? Как давно последний раз на управляемых компьютерах успешно завершалась задача Агента администрирования "Поиск уязвимостей и применимых обновлений"? Нет ли в Kaspersky Event Log на управляемых компьютерах и/или нв сервере администрирования записей об ошибках синхронизации сетевых списков?

Share this post


Link to post
Share on other sites
С какой периодичностью запускается задача обновления баз Сервера администрирования? Как давно последний раз на управляемых компьютерах успешно завершалась задача Агента администрирования "Поиск уязвимостей и применимых обновлений"? Нет ли в Kaspersky Event Log на управляемых компьютерах и/или нв сервере администрирования записей об ошибках синхронизации сетевых списков?

раз в неделю, вчера запускал, нету записей об ошибках, дистрибутив явы вчера был ещё 7.450.13, седня уже 7.510.18

спасибо за оперативность

Share this post


Link to post
Share on other sites

и ещё одно, при просмотре свойств компа, когда смотришь уязвимости и ПО, показывает список программ - неустановленные обновления\состояние установки - "устанавливается", но на самом деле оно уже давно установлено и комп перегружался. баг это или не баг не в курсе. но очень бы хотелось бы это както пофиксить. Патч А на консоль поставил...

Edited by dj_vitaly

Share this post


Link to post
Share on other sites
и ещё одно, при просмотре свойств компа, когда смотришь уязвимости и ПО, показывает список программ - неустановленные обновления\состояние установки - "устанавливается", но на самом деле оно уже давно установлено и комп перегружался. баг это или не баг не в курсе. но очень бы хотелось бы это както пофиксить. Патч А на консоль поставил...

 

поставил патч Б. но баг этот не убран. обидно

Share this post


Link to post
Share on other sites
поставил патч Б. но баг этот не убран. обидно

 

вот на скрине - устанавливается, причем на разные проги на 60 машин в сети, но эти проги уже давно обновлены на самом компе и даже запускались. тотже еир когда проверяеш с адобы, или клинер.

post-509047-1400685332_thumb.png

Share this post


Link to post
Share on other sites
вот на скрине - устанавливается, причем на разные проги на 60 машин в сети, но эти проги уже давно обновлены на самом компе и даже запускались. тотже еир когда проверяеш с адобы, или клинер.

Скоуп патча B был зафиксирован довольно давно.

Исправление ошибки, которую Вы описываете, должно войти в следующий патч.

Вы можете завести инцидент через службу поддержки, будет возможно предоставить Вам предварительное исправление данной проблемы в виде скрипта, определенным образом модифицирующего БД.

Share this post


Link to post
Share on other sites
Скоуп патча B был зафиксирован довольно давно.

Исправление ошибки, которую Вы описываете, должно войти в следующий патч.

Вы можете завести инцидент через службу поддержки, будет возможно предоставить Вам предварительное исправление данной проблемы в виде скрипта, определенным образом модифицирующего БД.

 

самое главное что обновка будет, спасибо за ответ, это главное, буду ждать

Share this post


Link to post
Share on other sites
Скоуп патча B был зафиксирован довольно давно.

Исправление ошибки, которую Вы описываете, должно войти в следующий патч.

Вы можете завести инцидент через службу поддержки, будет возможно предоставить Вам предварительное исправление данной проблемы в виде скрипта, определенным образом модифицирующего БД.

Новый инцидент INC000003162864 был зарегистрирован! (ARNOTE 1770000064)

прошу скрипт и инструкцию применения

Share this post


Link to post
Share on other sites
katbert   

На Windows 8 при поиске уязвимостей в сторонних программах в %Systemroot% обнаруживаться большое количество ложных уязвимостей в Adobe Flash.

Там Adobe Flash ActiveX для Internet Explorer распространяется только через Windows Update, и средствами Windows создаются копии предыдущих версий в каталоге C:\Windows\WinSxS

В итоге - на машинах с Windows 8 числится большое количество уязвимостей в Adobe Flash, хотя фактически стоит последняя версия

 

Может стоит научить Агент не искать уязвимости в копиях файлов Windows?

post-5449-1404390608_thumb.png

Share this post


Link to post
Share on other sites
katbert   

Удаление файлов обновлений Windows с помощью очистки диска удалило часть каталогов вида

C:\Windows\winsxs\x86_adobe-flash-for-windows...

Но остался C:\Windows\winsxs\x86_adobe-flash-for-windows_31bf3856ad364e35_6.2.9200.16384_none_284aefe73af6588a

Большинство обнаруженных уязвимостей обнаруживается в нем

 

Share this post


Link to post
Share on other sites

Здравствуйте!

Аналогичный запрос уже обсуждался тут, посмотрите, пожалуйста.

В патче B это поведение было скорректировано, и по умолчанию отфильтровываются экземпляры уязвимостей такого рода, которые не являются частью реально установленного продукта и не могут в принципе быть закрыты патчами. При необходимости посмотреть такие экземпляры можно, отключив данный фильтр.

Share this post


Link to post
Share on other sites
katbert   

Речь о галке "Есть исправление" на вкладке Уязвимости в программах в свойствах компьютера?

 

Share this post


Link to post
Share on other sites
Речь о галке "Есть исправление" на вкладке Уязвимости в программах в свойствах компьютера?

Да, именно так.

Однако предложение об исключении именно из области поиска некоторых стандартных системных папок мы также, вероятно, реализуем в одном из ближайших обновлений.

Share this post


Link to post
Share on other sites
katbert   
Да, именно так.

Тогда это не совсем то, что нужно.

Похоже, эта по этой галке имеется в виду наличие патча, который KSC может установить задачей устранения уязвимостей

Но ведь если KSC не может автоматически закрыть конкретную уязвимость, это еще не значит, что нет патча или новой версии от производителя

 

Например, на одной из машин стоит полная версия Acrobat 10.1.9, в которой обнаруживается уязвимость

И при установленной галке "Есть исправление" эта уязвимость скрыта

А между тем, у Adobe давно уж вышел патч до версии 10.1.10

Edited by katbert

Share this post


Link to post
Share on other sites
Тогда это не совсем то, что нужно.

Похоже, эта по этой галке имеется в виду наличие патча, который KSC может установить задачей устранения уязвимостей

Но ведь если KSC не может автоматически закрыть конкретную уязвимость, это еще не значит, что нет патча или новой версии от производителя

 

Например, на одной из машин стоит полная версия Acrobat 10.1.9, в которой обнаруживается уязвимость

И при установленной галке "Есть исправление" эта уязвимость скрыта

А между тем, у Adobe давно уж вышел патч до версии 10.1.10

 

Исходя из сценариев использования, по умолчанию мы показываем те уязвимости, в отношении которых KSC может предпринимать какие-то действия. При ручном анализе уязвимостей с целью самостоятельной работы с ними данную фильтрацию просто нужно отключать. И да, в этом случае уязвимые файлы в системных кешах сейчас тоже будут показаны, здесь уже наступает ответственность администратора по отделению того, что его интересует от того, что его не интересует.

Share this post


Link to post
Share on other sites
katbert   

Изначальный вопрос был о том, чтобы не обнаруживать уязвимости там, где это смысла не имеет - во всяких кэшах

Вручную разгребать это будет скучно - если одна машина с Win8 дает около 15 ложных уязвимостей только во Flash - а таких машин в сети много?

 

Пока обхожу эту ситуацию, не включая %systemroot% в регулярное сканирование

Патчи для продуктов MS ставлю через WSUS

Share this post


Link to post
Share on other sites
vbikov   

Добрый день!

 

Есть несколько вопросов по функционированию KSC 10 в роли WSUS сервера. Сохраняет ли KSC 10 загружаемые обновления локально, дабы повторно их не скачивать из Интернета при повторной установке на клиентах ? Если обновления сохраняются локально, то:

 

- попадут ли они в бэкап для KSC ?

- можно ли переносить локально сохранённые обновления в виде папок/файлов на другой сервер KSC 10 ?

 

Благодарю за ответы!!

Share this post


Link to post
Share on other sites
vbikov   

Будьте добры, по горячим следам возник ещё один вопрос. При настройке задачи "Обновление программ и закрытие уязвимостей" в разделе "Параметры" можно задать правила установки обновлений. Если я создам два правила одного и того же типа "Правило для всех обновлений" (в первом задано - Устанавливать все обновления кроме отклонённых, а во втором - Устанавливать все обновления включая отклонённые), то какой результат я получу ? То есть как обрабатываются сценарии, когда в задаче есть несколько конфликтующх правил ? В справке/документации на эту тему ничего нет. Спасибо!!!

Share this post


Link to post
Share on other sites
xoxmodav   
Пожелания к этому модулю:

1. Иметь исключения (к примеру, некоторые продукты уже идут со встроенными модулями Java, которые уже устарели и т.п.)

Присоединяюсь - добавления возможности исключения отдельных каталогов просто необходима. Столкнулся один раз с тем, что после поиска уязвимостей в одной организации где использовался мессенджер Spark сервер администрирования на все рабочие станции установил Java, хотя мессенджер использует свою, отдельно лежащую в каталоге с программой, версию Java.

Share this post


Link to post
Share on other sites
Присоединяюсь - добавления возможности исключения отдельных каталогов просто необходима. Столкнулся один раз с тем, что после поиска уязвимостей в одной организации где использовался мессенджер Spark сервер администрирования на все рабочие станции установил Java, хотя мессенджер использует свою, отдельно лежащую в каталоге с программой, версию Java.

Здравствуйте. Как давно это было? Какие патчи были установлены в тот момент когда была эта проблема? Спасибо!

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

×