Alexander Ilin

Поиск уязвимостей и Патч Менеджмент

76 posts in this topic

1. Software-Updates -> при выборе применимые с фильтром MSRC - критычные, то выходит список с 73 уязмимостями, а при выборе KL - выявилось только 2 уязвимости! Как это понять и по каким критериям лучше ориентироваться??? - в данном случае лично считаю, что лучше положися на Microsoft! Либо проблема либо баг!

Уточните, пожалуйста, что вы имеете в виду, когда говорите "при выборе KL"? Если уровень важности по KL, то возможно нет ни проблемы, ни баги, т.к. при определении уровня важности мы учитываем много факторов, в т.ч. отталкиваемся не только от исходного уровня уязвимости, но также учитываем наличия фактов использования данной уязвимости зловредами, и т.п. И еще важный момент мы показываем свой рейтинг важности уязвимости только для тех обновлений, которые реально детектировались как применимые на каких-либо управляемых компьютерах, тогда как "уровень важности по MSRC" - артибут собственно обновления, он доступен сразу при получении с серверов MS Updates информации о данном обновлении. Однако, конечно, вероятность ошибки исключать нельзя - приведите, пожалуйста, пару примеров обновлений MS с серьезным уровнем MSRC, для которых в поле "Уровени важности по KL" стоит <Unknown> - будем разбираться.

 

2. Очень важный пункт!!!! После того, как в политике агента устанавливаем "использовать KSC как wsus сервер" на всех рабочих местах выходи служба windows update и жалуется что есть обновления для хоста!!! Любой пользователь может произвести обновления!!!!!!! - это фатально!!! и это с security ни имеет ничего общего!!!!! Наши все клиенты, только по этой причине не хотят пользоватся этим функционалом.

Ведь смысл всего, чтобы администратор выбрал обновления которые он считает нужным и затем установил, а не каждый юзер, после чего хосты могут попрощатся!!!! Очень важно!!!

В данном случае в существующем релизе мы преследовали цель учесть наиболее важные существующие претензии пользователей к MS WSUS. В частности, возможность пользователя при наличии определенных прав отказаться от установки обновлений, назначенных администратором к установке. В нашем случае мы обеспечиваем немедленную (согласно заданному администратором расписанию) установку обновлений согласно критериям, заданным администратором, но препятствовать возможности привилегированному пользователю по своему желанию установить прочие применимые к его компьютеру обновления, мы целью не ставили, т.к., при наличии таких прав привилегированный пользователь может установить обновления и напрямую с серверов обновлений Microsoft, а возможность самостоятельно установки обновлений непривилегированными пользователями отключается в доменной политике.

 

3. Тестировать и проверять пакеты обновления, а не просто пересылать на microsoft и других производителей как это делает Secunia. К примеру производитель Lumension, сначала тестирует все обновления, затем пакетирует + MD5 + шифрует и обновления появляются 1-2 позже чем у microsoft, но зато уверенно проверенные!

Не переходя на конкретные названия, ничего плохого не хочу сказать про качество тестирования патчей провайдерами решений PatchManagement. Но обычно масштаб конфигурационного тестирования всех обновлений таков, что преимущество дополнительного тестирования (после исходного тестирования силами такой корпорации, как Microsoft), сопровождающееся дальнейшей ручной перепаковкой обновлений в свой формат и т.п., не столь однозначно. Необходимые проверки подлинности обновлений (и не только по дырявому MD5, но и по SHA256) есть и так. И многие поставщики услуг патч-менеджмента, рекламирующие собственную ручную перепаковку обновлений Microsoft как их конкурентное преимущество, так делают не столько потому, что это дает какие-то преимущества конечному пользователю, а потому, что на момент разработки ими их систем клиент-серверный протокол Microsoft WSUS еще был закрытым, и они тогда не могли сделать того, что сделали сейчас мы - реализовать этот протокол самостоятельно и позволить штатным средствам Windows устанавливать штатные обновления, доставляя их через свою транспортную систему (обеспечивающую централизованное получение обновлений в одной точке в сети и минимизацию трафика между интернетом и интранетом).

 

4. Устанавливаешь обновлене KB***, перезагрузаешь хост, сканируешь на уязвимости и опять появляетя уже установленный KB, как рекомендуемый для установке. Проверяешь на хосте и видишь, что этот патч уже установлен, сканируешь еще много раз, но KSC всеже предлогает для этого хоста уже установленный патч.

В настоящий момент действительно наблюдается такая ошибка. Для ее устранения готовится патч, как только он будет готов, мы выложим здесь ссылку на него. Кроме того, Вы можете обратиться в службу поддержки и завести соответствующий инцидент - в этом случае патч автоматически предоставят вам по факту готовности.

Share this post


Link to post
Share on other sites
1. Software-Updates -> при выборе применимые с фильтром MSRC - критычные, то выходит список с 73 уязмимостями, а при выборе KL - выявилось только 2 уязвимости! Как это понять и по каким критериям лучше ориентироваться??? - в данном случае лично считаю, что лучше положися на Microsoft! Либо проблема либо баг!

Уточните, пожалуйста, что вы имеете в виду, когда говорите "при выборе KL"? Если уровень важности по KL, то возможно нет ни проблемы, ни баги, т.к. при определении уровня важности мы учитываем много факторов, в т.ч. отталкиваемся не только от исходного уровня уязвимости, но также учитываем наличия фактов использования данной уязвимости зловредами, и т.п. И еще важный момент мы показываем свой рейтинг важности уязвимости только для тех обновлений, которые реально детектировались как применимые на каких-либо управляемых компьютерах, тогда как "уровень важности по MSRC" - артибут собственно обновления, он доступен сразу при получении с серверов MS Updates информации о данном обновлении. Однако, конечно, вероятность ошибки исключать нельзя - приведите, пожалуйста, пару примеров обновлений MS с серьезным уровнем MSRC, для которых в поле "Уровени важности по KL" стоит <Unknown> - будем разбираться.

Провели дополнительный анализ возможных ситуаций, в которых может воспроизводиться описанное Вами поведение.

В текущей версии KSC при наличии нескольких применимых обновлений Microsoft Windows, потенциально закрывающих одну уязвимость, мы по определенным критериям выбираем одно из таких обновлений как используемое по умолчанию для закрытия данной уязвимости. Если этого недостаточно для закрытия всех экземпляров данной уязвимости, остальные обновления будут установлены при последующих запусках задачи, либо в случае попадания их в область действия задачи на основании других критериев (например, непосредственно по уровню MSRC). Однако в ближайшей версии мы планируем поменять это поведение, каждый из таких апдейтов будет изначально помечен как связанный с уязвимостью соответствующего уровня важности.

 

Share this post


Link to post
Share on other sites

яву новую хочется, и квип если не сложно )

 

а ещё хочется возможность говорить KSC что ява входящая в сторонние проги (ставящаяся например с raid web console) не считается уязвимостью, так как она не патчится полюбому

Edited by dj_vitaly

Share this post


Link to post
Share on other sites
яву новую хочется, и квип если не сложно )

Уточните, пожалуйста, продолжением какой именно мысли является Ваш пост?

 

 

а ещё хочется возможность говорить KSC что ява входящая в сторонние проги (ставящаяся например с raid web console) не считается уязвимостью, так как она не патчится полюбому

Они не перестают от этого быть уязвимостями. Другой вопрос, что как в основном списке уязвимостей мы по умолчанию не отображаем такие уязвимости (для которых не могут быть применены патчи), так и не будем отображать их по умолчанию и в списках уязвимостей в свойствах конкретного компьютера (там также появится соответствующая настройка фильтрации). Эти изменения уже доступны в патче A.

Share this post


Link to post
Share on other sites
Провели дополнительный анализ возможных ситуаций, в которых может воспроизводиться описанное Вами поведение.

В текущей версии KSC при наличии нескольких применимых обновлений Microsoft Windows, потенциально закрывающих одну уязвимость, мы по определенным критериям выбираем одно из таких обновлений как используемое по умолчанию для закрытия данной уязвимости. Если этого недостаточно для закрытия всех экземпляров данной уязвимости, остальные обновления будут установлены при последующих запусках задачи, либо в случае попадания их в область действия задачи на основании других критериев (например, непосредственно по уровню MSRC). Однако в ближайшей версии мы планируем поменять это поведение, каждый из таких апдейтов будет изначально помечен как связанный с уязвимостью соответствующего уровня важности.

 

Спасибо за ответ!

Вот два скрина.

post-381890-1396558581_thumb.jpg

post-381890-1396558590_thumb.jpg

Share this post


Link to post
Share on other sites
Уточните, пожалуйста, продолжением какой именно мысли является Ваш пост?

 

в разделе программы и уязвимости\обновления програм\ дистрибутив явы не последней версии

Share this post


Link to post
Share on other sites
в разделе программы и уязвимости\обновления програм\ дистрибутив явы не последней версии

С какой периодичностью запускается задача обновления баз Сервера администрирования? Как давно последний раз на управляемых компьютерах успешно завершалась задача Агента администрирования "Поиск уязвимостей и применимых обновлений"? Нет ли в Kaspersky Event Log на управляемых компьютерах и/или нв сервере администрирования записей об ошибках синхронизации сетевых списков?

Share this post


Link to post
Share on other sites
С какой периодичностью запускается задача обновления баз Сервера администрирования? Как давно последний раз на управляемых компьютерах успешно завершалась задача Агента администрирования "Поиск уязвимостей и применимых обновлений"? Нет ли в Kaspersky Event Log на управляемых компьютерах и/или нв сервере администрирования записей об ошибках синхронизации сетевых списков?

раз в неделю, вчера запускал, нету записей об ошибках, дистрибутив явы вчера был ещё 7.450.13, седня уже 7.510.18

спасибо за оперативность

Share this post


Link to post
Share on other sites

и ещё одно, при просмотре свойств компа, когда смотришь уязвимости и ПО, показывает список программ - неустановленные обновления\состояние установки - "устанавливается", но на самом деле оно уже давно установлено и комп перегружался. баг это или не баг не в курсе. но очень бы хотелось бы это както пофиксить. Патч А на консоль поставил...

Edited by dj_vitaly

Share this post


Link to post
Share on other sites
и ещё одно, при просмотре свойств компа, когда смотришь уязвимости и ПО, показывает список программ - неустановленные обновления\состояние установки - "устанавливается", но на самом деле оно уже давно установлено и комп перегружался. баг это или не баг не в курсе. но очень бы хотелось бы это както пофиксить. Патч А на консоль поставил...

 

поставил патч Б. но баг этот не убран. обидно

Share this post


Link to post
Share on other sites
поставил патч Б. но баг этот не убран. обидно

 

вот на скрине - устанавливается, причем на разные проги на 60 машин в сети, но эти проги уже давно обновлены на самом компе и даже запускались. тотже еир когда проверяеш с адобы, или клинер.

post-509047-1400685332_thumb.png

Share this post


Link to post
Share on other sites
вот на скрине - устанавливается, причем на разные проги на 60 машин в сети, но эти проги уже давно обновлены на самом компе и даже запускались. тотже еир когда проверяеш с адобы, или клинер.

Скоуп патча B был зафиксирован довольно давно.

Исправление ошибки, которую Вы описываете, должно войти в следующий патч.

Вы можете завести инцидент через службу поддержки, будет возможно предоставить Вам предварительное исправление данной проблемы в виде скрипта, определенным образом модифицирующего БД.

Share this post


Link to post
Share on other sites
Скоуп патча B был зафиксирован довольно давно.

Исправление ошибки, которую Вы описываете, должно войти в следующий патч.

Вы можете завести инцидент через службу поддержки, будет возможно предоставить Вам предварительное исправление данной проблемы в виде скрипта, определенным образом модифицирующего БД.

 

самое главное что обновка будет, спасибо за ответ, это главное, буду ждать

Share this post


Link to post
Share on other sites
Скоуп патча B был зафиксирован довольно давно.

Исправление ошибки, которую Вы описываете, должно войти в следующий патч.

Вы можете завести инцидент через службу поддержки, будет возможно предоставить Вам предварительное исправление данной проблемы в виде скрипта, определенным образом модифицирующего БД.

Новый инцидент INC000003162864 был зарегистрирован! (ARNOTE 1770000064)

прошу скрипт и инструкцию применения

Share this post


Link to post
Share on other sites

На Windows 8 при поиске уязвимостей в сторонних программах в %Systemroot% обнаруживаться большое количество ложных уязвимостей в Adobe Flash.

Там Adobe Flash ActiveX для Internet Explorer распространяется только через Windows Update, и средствами Windows создаются копии предыдущих версий в каталоге C:\Windows\WinSxS

В итоге - на машинах с Windows 8 числится большое количество уязвимостей в Adobe Flash, хотя фактически стоит последняя версия

 

Может стоит научить Агент не искать уязвимости в копиях файлов Windows?

post-5449-1404390608_thumb.png

Share this post


Link to post
Share on other sites

Удаление файлов обновлений Windows с помощью очистки диска удалило часть каталогов вида

C:\Windows\winsxs\x86_adobe-flash-for-windows...

Но остался C:\Windows\winsxs\x86_adobe-flash-for-windows_31bf3856ad364e35_6.2.9200.16384_none_284aefe73af6588a

Большинство обнаруженных уязвимостей обнаруживается в нем

 

Share this post


Link to post
Share on other sites

Здравствуйте!

Аналогичный запрос уже обсуждался тут, посмотрите, пожалуйста.

В патче B это поведение было скорректировано, и по умолчанию отфильтровываются экземпляры уязвимостей такого рода, которые не являются частью реально установленного продукта и не могут в принципе быть закрыты патчами. При необходимости посмотреть такие экземпляры можно, отключив данный фильтр.

Share this post


Link to post
Share on other sites

Речь о галке "Есть исправление" на вкладке Уязвимости в программах в свойствах компьютера?

 

Share this post


Link to post
Share on other sites
Речь о галке "Есть исправление" на вкладке Уязвимости в программах в свойствах компьютера?

Да, именно так.

Однако предложение об исключении именно из области поиска некоторых стандартных системных папок мы также, вероятно, реализуем в одном из ближайших обновлений.

Share this post


Link to post
Share on other sites
Да, именно так.

Тогда это не совсем то, что нужно.

Похоже, эта по этой галке имеется в виду наличие патча, который KSC может установить задачей устранения уязвимостей

Но ведь если KSC не может автоматически закрыть конкретную уязвимость, это еще не значит, что нет патча или новой версии от производителя

 

Например, на одной из машин стоит полная версия Acrobat 10.1.9, в которой обнаруживается уязвимость

И при установленной галке "Есть исправление" эта уязвимость скрыта

А между тем, у Adobe давно уж вышел патч до версии 10.1.10

Edited by katbert

Share this post


Link to post
Share on other sites
Тогда это не совсем то, что нужно.

Похоже, эта по этой галке имеется в виду наличие патча, который KSC может установить задачей устранения уязвимостей

Но ведь если KSC не может автоматически закрыть конкретную уязвимость, это еще не значит, что нет патча или новой версии от производителя

 

Например, на одной из машин стоит полная версия Acrobat 10.1.9, в которой обнаруживается уязвимость

И при установленной галке "Есть исправление" эта уязвимость скрыта

А между тем, у Adobe давно уж вышел патч до версии 10.1.10

 

Исходя из сценариев использования, по умолчанию мы показываем те уязвимости, в отношении которых KSC может предпринимать какие-то действия. При ручном анализе уязвимостей с целью самостоятельной работы с ними данную фильтрацию просто нужно отключать. И да, в этом случае уязвимые файлы в системных кешах сейчас тоже будут показаны, здесь уже наступает ответственность администратора по отделению того, что его интересует от того, что его не интересует.

Share this post


Link to post
Share on other sites

Изначальный вопрос был о том, чтобы не обнаруживать уязвимости там, где это смысла не имеет - во всяких кэшах

Вручную разгребать это будет скучно - если одна машина с Win8 дает около 15 ложных уязвимостей только во Flash - а таких машин в сети много?

 

Пока обхожу эту ситуацию, не включая %systemroot% в регулярное сканирование

Патчи для продуктов MS ставлю через WSUS

Share this post


Link to post
Share on other sites

Добрый день!

 

Есть несколько вопросов по функционированию KSC 10 в роли WSUS сервера. Сохраняет ли KSC 10 загружаемые обновления локально, дабы повторно их не скачивать из Интернета при повторной установке на клиентах ? Если обновления сохраняются локально, то:

 

- попадут ли они в бэкап для KSC ?

- можно ли переносить локально сохранённые обновления в виде папок/файлов на другой сервер KSC 10 ?

 

Благодарю за ответы!!

Share this post


Link to post
Share on other sites

Будьте добры, по горячим следам возник ещё один вопрос. При настройке задачи "Обновление программ и закрытие уязвимостей" в разделе "Параметры" можно задать правила установки обновлений. Если я создам два правила одного и того же типа "Правило для всех обновлений" (в первом задано - Устанавливать все обновления кроме отклонённых, а во втором - Устанавливать все обновления включая отклонённые), то какой результат я получу ? То есть как обрабатываются сценарии, когда в задаче есть несколько конфликтующх правил ? В справке/документации на эту тему ничего нет. Спасибо!!!

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!


Register a new account

Sign in

Already have an account? Sign in here.


Sign In Now