Dove o come posso trovare un elenco di soli exploit di sicurezza privi di patch per un sistema operativo fuori supporto? Voglio essere sicuro di poter informare i proprietari del server dei rischi reali di rimanere su un sistema operativo obsoleto. Posso ottenere un elenco di tutti i CVE, ma non sono riuscito a filtrare lo stato delle patch.
In genere, ciò che faccio è eseguire una scansione della vulnerabilità sulla macchina. Ciò copre più che semplici exploit non brevettabili e può entrare in cose come mancanza di supporto per i nuovi protocolli o nuovi standard cripto.
Una scansione mostrerà l'elenco di exploit specifici per quella macchina e gli altri punti deboli a cui potrebbe essere sottoposto.
Inoltre, uno scanner classificherà la gravità dei rischi, che renderà più semplice la comunicazione agli stakeholder.
So che prima stavi chiedendo un database, ma uno scanner contiene questo database e lo filtra per il target specifico.
Dettagli CVE indica che sono state segnalate 414 vulnerabilità 98 patch. Si noti che un service pack potrebbe aver corretto molte vulnerabilità, pertanto i numeri non sono indicativi di Windows 2003 che contiene ancora 316 vulnerabilità (414-98). Questo potrebbe anche non includere mai giorni zero, né vulnerabilità di terze parti (ad esempio, Adobe, JAVA, ecc.)
Leggi altre domande sui tag patching known-vulnerabilities