È sicuro usare questo server ftp incorporato?

4

Stiamo utilizzando una suite di software per l'automazione del traffico FTP. Utilizza il componente Apache Mt FtServer come server FTP incorporato (per FTPS e SFTP).

L'uso di questa libreria è stato contrassegnato come un problema di sicurezza. Il ragionamento fornito era l'età della biblioteca (lo sviluppo principale è stato fatto nel 2008) e il basso numero di modifiche (nessun cambiamento reale dal 2011). Vedi il riepilogo delle modifiche qui.

I tester hanno indicato che non ci sono problemi di sicurezza noti pubblicamente per questa libreria.

Non sono sicuro di come valutare questo rischio. Penserei che una libreria open source stabile senza problemi noti sarebbe una buona cosa.

  1. È un rischio reale, la biblioteca è un problema?
  2. L'età della biblioteca è di per sé una preoccupazione?
  3. Lo stato di manutenzione è un problema?
  4. Il fatto che sia gestito da Apache a pro?
  5. Ci sono problemi di sicurezza per questa libreria?
posta oɔɯǝɹ 13.07.2017 - 16:29
fonte

3 risposte

5

Proverò a rispondere alle domande con la seguente spiegazione.

Descrivere la mancanza di sviluppo solo non è un rischio. Ma è anche una questione di opinione. Ma potrebbero essere le dipendenze della tua libreria (ad esempio Java e altre). Ciò significa che, ad esempio, la libreria potrebbe essere (nota) priva di bug e stabile in effetti. Ma la versione Java sottostante potrebbe diventare il problema, introducendo vulnerabilità note.

Per accertarlo, dovresti controllare la libreria incluse le dipendenze per dire qualcosa di utile a riguardo.

Valutazione del rischio

Inoltre dovresti prendere in considerazione la verosimiglianza. È accessibile solo dietro una Virtual Private Network (VPN) o dietro un tunnel SSH con Private Keys o entrambi? O è aperto a tutto il mondo? Quindi considera anche il possibile impatto. Ci sono due utenti sulla piattaforma o ventimila? Possono aprire solo alcuni file multimediali? O informazioni altamente riservate e classificate?

    
risposta data 21.07.2017 - 11:58
fonte
2

Il punto chiave qui è che non è l'età della libreria che è un problema. Anzi. Ma è un problema se una libreria non è mantenuta e questo problema diventa (molto leggermente) più grande se la libreria è vecchia perché aumenta il rischio che esistano vulnerabilità non fissate.

1. È un rischio reale, la biblioteca è un problema? 5. Ci sono problemi di sicurezza per questa libreria?

La determinazione di ciò richiederebbe prendere in considerazione i requisiti di sicurezza e il modello del contraddittorio e potenzialmente fare un controllo di sicurezza. Dare una risposta è fuori portata qui.

2. L'età della biblioteca è di per sé una preoccupazione?

In realtà, quando un progetto è ben mantenuto, avere una certa età può essere utile perché molti difetti di sicurezza sono stati trovati e risolti.

3. Lo stato di manutenzione è un problema?

Assolutamente, un progetto non mantenuto significherà che i nuovi difetti di sicurezza rilevati potrebbero non essere corretti e dovrai correggerli tu stesso o sostituire la libreria.

4. Il fatto che sia gestito da Apache è un professionista?

Non penso che la struttura organizzativa della fondazione Apache consenta questa conclusione. Ci sono troppe persone e progetti che gestiscono le cose in modo diverso.

    
risposta data 24.07.2017 - 17:35
fonte
1

oɔɯǝɹ, come accennato, è difficile fare gran parte di un controllo di sicurezza basato su alcune delle informazioni vaghe fornite.

Immagino che tu abbia una certa comprensione e consapevolezza dei tipici problemi di sicurezza dal momento che sei effettivamente qui e ti chiedi della sicurezza di un servizio FTP correlato.

Tuttavia, ci sono certamente aspetti di questo che sono spesso discutibili quando si tratta di sicurezza (vecchio / presumibilmente non più supportato, collegato all'FTP). Inoltre, Open Source è fantastico - quando viene mantenuto e mi piace pensare che di conseguenza i 'cappelli bianchi' possono superare i 'cappelli neri' eh.

Personalmente, troverei un'altra soluzione perché, anche se si pattina senza un problema di sicurezza per ora, è probabile che si stia cercando una nuova soluzione prima possibile. (Lo presumo solo in base alla mia esperienza). Una preoccupazione principale, solo per essere chiari e questo potrebbe essere il motivo per cui avete posto la domanda in primo luogo, è che il software che non ha subito lo sviluppo per così tanto tempo (voglio dire, che sta arrivando un DECADE) ha una buona possibilità di finire essere sfruttati in qualche modo e non c'è nessuno là fuori a guardarlo e ripararlo, figuriamoci anche segnalarlo.

Per rispondere alle tue 5 domande, comunque (e si spera che ottenga una taglia o un punto in modo da poter sfuggire ai punti newbie sandbox :-p):

  1. Un po 'è andato oltre i possibili modi in cui potrebbe essere un rischio. Puoi guardarlo da un'altra prospettiva, però, e vedere se c'è qualcuno (idealmente più di uno!) Che lo usa anche lui.

Se detto gruppo lo sta usando, allora potresti fidarti che si tratta di una specie di "canarino in una miniera di carbone". Anche se questa analogia chiaramente non è terribilmente valida in questo campo, heh ..

  1. Sì, l'età della biblioteca sarebbe una preoccupazione. L'unica cosa che sta facendo è che è collegato, per quanto lontano, alla Fondazione Apache.

    1. Sì, lo stato di manutenzione sarebbe anche una preoccupazione per me - vedi l'inizio della mia risposta sul perché.

    2. Heh, non avevo guardato in anticipo le domande, lo giuro! :-p ... vedi la risposta alla domanda 2

    3. Sì, ci sono problemi di sicurezza potenziali . Tuttavia, sono tutti speculativi. Un altro modo per ottenere qualcosa di più concreto è fare qualche ricerca sui link, la ricerca sul dominio e forse qualche ricerca su tutti gli altri che la usano ancora (se ce ne sono) - oltre a prendere questo fatto di per sé (pertinente agli altri utenti) in seria considerazione.

Buona fortuna e sentiti libero di ricontrollare! Una buona regola è quella di cercare di rimanere aggiornato con il software! Ma suppongo, a volte non sia TROPPO aggiornato che tu sia solo il porcellino d'India / bug finder ha.

Saluti

    
risposta data 21.07.2017 - 18:22
fonte

Leggi altre domande sui tag