L'installazione di una vecchia versione di OpenBSD su un server con connessione Internet rappresenta un rischio per la sicurezza?

6

Ho un pacchetto specifico (moodle) che non è disponibile nelle versioni più recenti del SO sopra menzionato. L'ultima versione di moodle era disponibile su OpenBSD 5.3, che ha più di 4 anni.

Conoscendo l'impressionante track record di sicurezza di OpenBSD, esiste un rischio per la sicurezza nell'installazione del pacchetto moodle (www.moodle.org) su un server OpenBSD 5.3 esposto a Internet?

    
posta user166931 26.12.2017 - 15:05
fonte

2 risposte

24

I have one specific package (moodle) which is not available on newer versions of aforementioned OS (last version of moodle was available on OpenBSD 5.3) which is more than 4 years old.

Secondo me fai la domanda sbagliata. Il problema è meno la vecchia versione di OpenBSD ma più la vecchia versione di Moodle che vuoi eseguire su questa versione di OpenBSD. Sebbene tu non specifichi i dettagli, suppongo che tu voglia utilizzare questo pacchetto (o qui ) che contiene Moodle 1.9.16 su PHP 5.4 - entrambi molto vecchi.

Le versioni di OpenBSD sono supportate essenzialmente per un anno. L'esecuzione di una versione di OpenBSD che ha più di 3 anni di supporto può essere eseguita se si sa veramente cosa si sta facendo per mantenere la superficie di attacco abbastanza ridotta - ad esempio avendo solo accesso SSH con autenticazione basata solo su chiave e se non si ha utenti non fidati sul tuo sistema.

Tuttavia, l'esecuzione di una grande applicazione web come Moodle non conta come minima superficie d'attacco. Le applicazioni Web sono in genere complesse e spesso presentano vulnerabilità di sicurezza, talvolta anche critiche che consentono l'esecuzione di codice in modalità remota. E tali vulnerabilità esistono anche con le versioni precedenti di Moodle come ricerca semplice . E mentre a volte le correzioni critiche vengono ripristinate in versioni precedenti, puoi vedere dalla cronologia dei commit che l'ultima modifica a questo pacchetto è stata eseguita 2012- 01-21. Immagino che questa mancata manutenzione del pacchetto sia stata anche la ragione per cui è stata rimossa dai porti il 2013-09-20.

In altre parole: eseguire una vecchia versione di un'applicazione complessa e di grandi dimensioni come Moodle con vulnerabilità note di sicurezza critica è una pessima idea. E la sicurezza di OpenBSD non ti aiuterà a proteggerti molto in questo caso. Non sarà di grande aiuto se si utilizza una versione corrente e sarà ancora meno utile se si usa una versione vecchia e non più mantenuta di OpenBSD.

    
risposta data 26.12.2017 - 16:32
fonte
6

BSD non ha nulla a che fare con esso (ma è una buona scelta).

L'esecuzione di software obsoleto è del tutto possibile se eseguita correttamente con patch.

Google e il DB CVE sono tuoi amici

link

link

Stabilisci che le nove vulnerabilità sono rilevanti per la tua configurazione e distribuzione e se puoi correggerle.

Cerca Moodle e tutti gli altri servizi che desideri pubblicizzare sul Web per CVE, stabilisci la pertinenza e la patch di conseguenza.

SE DETERMINATE alcune vulnerabilità non possono essere patchate o mitigate, quindi determinare se un metodo di tunneling sicuro si adatta ai vostri requisiti di accessibilità, cioè una regola del firewall che concede l'accesso a specifici intervalli di indirizzi IP, una VPN al vostro router periferico che fornisce accesso controllato a la tua casella Moodle.

Queste sono opzioni generali per una vasta gamma di soluzioni che realizzeranno il tuo obiettivo!

    
risposta data 26.12.2017 - 15:37
fonte

Leggi altre domande sui tag