- - PR -
見つかった脆弱性の対応方法について
1
| 投稿者 | 投稿内容 | ||||
|---|---|---|---|---|---|
|
投稿日時: 2005-11-17 14:04
宜しくお願いします。
社内にあるWebサーバを、あるサービスでセキュリティチェックをしたところ 脆弱性がたくさん見つかりました(-_-  。
それぞれ脆弱性の内容を確認してみたところ、あまり理解できなかったのですが、 調べてみるとベンダからパッチが出ている脆弱性についてはパッチをあてるよう ですね。 ただ、使用しているOSがRed Hat Linux 9 で、サポート終了してます。。。 サポート終了後に見つかりパッチが無い脆弱性については、 通常どのように対応しているのでしょうか。 脆弱性の危険度については自分では判断できないのですが、使用したサービスが 判断した値によると、緊急度、深刻度、影響度はかなり高い値です。 宜しくお願いします。 | ||||
|
投稿日時: 2005-11-17 14:59
サポートが継続しているOSやバージョンへの移行、というのが本筋でしょう。 外部公開しているオープン系OSを、バージョンも変更せずにずっと 使い続ける、っていうこと自体、無謀です。 とりあえず、RedHat9に関しては、RedHat社自身のサポートは終わっていますが、 FedoraLegacyでサポートが続いているように見えます。 ただ、あくまでもコミュニティベースでの対処ですので、 信頼性や保証は企業サポートよりさらに自己判断する必要はあるでしょう。 http://www.atmarkit.co.jp/flinux/rensai/linuxtips/599endrhlup.html また、条件次第では有償でサポートを行ってくれているベンダもあった気がします。 各脆弱性に対して、各ソフトウェアに対し、自力で個別にバージョンアップする、 というのもありではありますが、いつまで対処できるのか、 対処にどれだけの労力を要するのか、ちゃんと考える必要があるでしょう。 結局どこかでOSのアップグレードは避けられませんし。 まあ、社内限定のWebサーバだったら、脆弱性があっても性善説で黙認 (社内ユーザからのクラックはありえない、等)、という選択肢もなくは無いでしょう。 外部公開してるサーバなら、何か起きたら会社の信用問題でしょうから、 しっかりお金かけて対処するなり、外部ホスティング業者へ乗り換える(OSやソフトの バージョン管理責任義務からは開放される)なり、公開自体止めるなり、 何かしらかの対処はしないとまずいでしょう。 _________________ Mattun Microsoft MVP for Directory Services (Oct 2006-Sep 2007) | ||||
|
投稿日時: 2005-11-17 15:27
こんにちわ.
内容は良くわかりませんが, それは「http daemon 以外にも」というお話ですか? たとえば netfilter や TCPwrapper などで通信を抑制したりすることで, ある程度防げるのでは? Mattun 様ご指摘のように入れ替えるのが正道でしょうけど, すぐに対応できなければせめてその手の対応から取り掛かれば良いのでは? ※少なくとも今までは侵犯されていないのですよね? RedHat そのものでは Support 打ち切っていますが, http://www.atmarkit.co.jp/flinux/rensai/linuxtips/599endrhlup.html 一応こんな方法も残されています. 入れ替え計画と並行して,こういった方法で補短しては如何でしょうか? 以上,ご参考までに. | ||||
|
投稿日時: 2005-11-17 16:27
解答、ありがとうございます。
ですよね、ごもっともです。外部公開しています。 項目ごとにCVE IDというのが付いていたので、調べてみています。 また、質問させてもらうことがあるがと思いますが、 その時は宜しくお願いします。 | ||||
1
スキルアップ/キャリアアップ(JOB@IT)
Copyright © ITmedia, Inc. All Rights Reserved.
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。