14 уязвимостей всех цветов радуги: 2 критических, 8 средних и 4 низких.
Впечатлительный человек, прочитав такой отчёт, скажет точно "всё пропало" и пойдет сносить головы ибшникам/айтишникам за то, что допустили 14 дыр во внутреннем продакшн сервере.
Но стоит немного вчитаться, и выходит, что виной всему только старый OpenSSH/OpenSSL, а выдача сканера формируется по принципу "детектим текущую версию сервиса, смотрим какие CVE закрыли в каждом новом билде, выдаем всё скопом и радуемся".
3 листа мелкого текста можно заменить на одну красную строчку: "старый сервис, обновись".
Конечно, эта беда не только МП, а почти каждого инструмента безопасности. К каждой тулзе нужна прокладка в виде опытного аналитика, способного выделить строчку сути из 3 листов мусора и виной этому, главным образом, вендорский подход: сканер уязвимости должен находить много "красненького", иначе как доказать заказчику, что он эффективно работает?
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.
