Patching Meccanismo e buchi di sicurezza

6

Permettetemi di chiarire due metodi di applicazione delle patch e poi passerò direttamente alla domanda:

Sto usando sia MAC OS X che Windows e per me sono interessanti i meccanismi di questi due famosi sistemi operativi nella gestione degli aggiornamenti software.
 Quando un aggiornamento è disponibile in OS X, in genere è disponibile un rinnovo completo della parte problematica e mi sembra che rinnovi completamente quella parte, ma quando è disponibile una correzione rapida per Windows, questo aggiornamento rapido è in genere così piccolo (in confronto con quello che scarichiamo dal sito Apple).

Mi sto interrogando sui pro e i contro di tali meccanismi (verso l'obiettivo di sicurezza di quel software) e non mi interessa chi ha ragione o torto, ho bisogno di un confronto tra gli effetti di sicurezza che queste tecniche di gestione delle patch possono causare e quantità di lavoro e effetti collaterali in diverse strategie di gestione delle patch (se è così ampia, un riferimento può essere sufficiente per darmi un'idea di come iniziare).
{Si prega di fornire risposte costruttive ed evitare di incolpare qualsiasi fornitore di software, specialmente i due sopra menzionati, in qualsiasi parte della risposta. Questa è la politica di questo forum per quanto mi riguarda. Grazie}

    
posta Yasser Sobhdel 19.04.2011 - 09:38
fonte

2 risposte

4

Quindi in sostanza ciò dipende dal fatto che la patch sia consegnata come un set di file sostitutivi, o una serie di "diff binari" da applicare ai file esistenti.

  • Di solito è più semplice aggiornare una versione precedente arbitraria del software dai file sostitutivi. Ad esempio se si dispone di 1.0.2 di un componente e la patch fornisce 1.0.7, con la sostituzione si procede e si installa. Con diffs devi (spesso) andare via 1.0.3, 1.0.4 ecc. Ricordo che il meccanismo di patch di Solaris aveva questa interessante funzionalità (e dovevo installare ogni parte manualmente, prima che PatchPro fosse rilasciato).
  • Di solito è più veloce scaricare gli aggiornamenti di conversione binari.
  • Un'installazione di componenti sostitutivi ha più probabilità di riuscire se i file originali sono stati modificati in qualche modo. Tuttavia, non dovresti affidarti comunque al gestore patch come controllore dell'integrità.

In effetti, nella mia esperienza la "sicurezza" di una patch si riduce non al meccanismo di installazione (eccetto quello automatizzato di solito batte il manuale), ma a queste due cose:

  1. Soprattutto, la latenza tra disponibilità e installazione della patch. Vedi, ad esempio, il worm Slammer.
  2. La quantità di test effettuati dal venditore prima di distribuire la patch.
risposta data 19.04.2011 - 10:10
fonte
1

In linea di principio non vi è alcuna differenza tra le patch installando l'intero nuovo binario rispetto alle patch di diffs, in entrambi i casi si finisce con lo stesso stato di destinazione supponendo che entrambi siano implementati correttamente.

Il patching di diffs è (di solito) più efficiente in termini di larghezza di banda della rete, ma (se si stanno implementando patch per il proprio software) sarà anche più complesso perché è necessario gestire tutte le diverse vecchie versioni del tuo software che il cliente può avere (oltre a tutte le vecchie versioni dei formati di dati, se questi sono stati modificati).

Si potrebbe anche obiettare che una maggiore complessità nel patching diff significa più probabilità di errori di implementazione, alcuni dei quali saranno rilevanti per la sicurezza, e probabilmente la maggior parte dei quali comporterebbe un sistema che non funziona.

    
risposta data 19.04.2011 - 12:29
fonte

Leggi altre domande sui tag