Scenario: ti viene presentato un CVN che specifica che una parte del software comune che viene eseguita con privilegi di root presenta una vulnerabilità che consente a un utente non privilegiato di creare o sovrascrivere qualsiasi file, inclusi i file di proprietà di root.
Dopo un'ulteriore lettura si scopre che la vulnerabilità riguarda solo la v1.6 e la v1.7. Il bug è corretto in v1.8 e il software più recente è v1.9
Tuttavia, si scopre che la versione che si sta utilizzando su Enterprise è v1.2 che non è affatto interessata da questa vulnerabilità.
La mia domanda è questa:
È consigliabile eseguire l'upgrade a una versione oltre a quelle versioni che contengono la vulnerabilità, anche se la versione che stai utilizzando non è influenzata?
Posso prevedere che potrebbero esserci diversi punti di vista.
Da un lato, rimanendo in una versione precedente alle versioni vulnerabili, è possibile che il software sia aggiornato a una versione che contiene vulnerabilità a causa di un errore umano. Diciamo che qualcuno che si occupa della confezione non rileva questo problema.
D'altra parte, si può dire che dobbiamo fidarci dei processi e delle procedure che dovrebbero prevenire tale errore umano.
Forse la risposta a una gran parte dipende dall'appetito, dalla valutazione o dal rischio. Mi piacerebbe davvero condensare questo in una dichiarazione di buona pratica priva di credenza soggettiva.