Uno standard classifica le patch

Ci sono grossi nomi dell'IT dietro una specifica standard per la valutazione delle vulnerabilitÓ di sicurezza. Per aiutare - dicono - aziende e utenti a comprendere la reale gravitÓ delle falle

San Francisco (USA) - Sette societÓ che operano nel settore del software e della sicurezza, tra cui Cisco, Microsoft e Symantec, stanno promuovendo un modello standard con cui classificare le vulnerabilitÓ che affliggono applicazioni e sistemi operativi.

Il sistema, denominato Common Vulnerability Scoring System (CVSS), Ŕ stato sviluppato per andare incontro alle esigenze di chi, all'interno delle aziende, deve gestire l'aggiornamento del software. I suoi promotori sostengono che il CVSS, se adottato da tutta l'industria del settore, permetterÓ agli amministratori di sistema di valutare a colpo d'occhio la prioritÓ di ogni update e, in base a questa, decidere l'ordine con cui installare le patch. Una promessa non da poco se si pensa che un'azienda di medie o grandi dimensioni si ritrova spesso a gestire, ogni settimana, decine di update di sicurezza.

Oggi i produttori di software e le societÓ specializzate nella sicurezza classificano la gravitÓ delle falle con metri e parametri spesso molto differenti fra loro. CVSS fornisce invece una serie di criteri di valutazione standard con cui determinare la severitÓ di un problema di sicurezza e l'urgenza con cui va applicata la relativa soluzione: tali criteri, in totale sette, tengono in considerazione fattori quali le modalitÓ con cui un cracker pu˛ sfruttare la falla, il periodo di tempo passato dalla sua scoperta e l'esistenza o meno di un exploit. Ad ogni fattore viene assegnato un punteggio e, attraverso un'equazione matematica, calcolato un valore che sintetizza la gravitÓ complessiva del problema.
Il nuovo sistema di classificazione delle vulnerabilitÓ fa parte di un progetto patrocinato dallo US National Infrastructure Advisory Council, un ramo dello US Department of Homeland Security che gestisce l'infrastruttura di sicurezza dedicata a settori critici del mercato come quello finanziario, dell'energia e dei trasporti.

Microsoft potrebbe adottare il CVSS all'interno dei suoi bollettini giÓ a partire dai prossimi mesi.
TAG: sicurezza
20 Commenti alla Notizia Uno standard classifica le patch
Ordina
  • ogni giorno trovo "decinaie e decinaie" di messaggi pro e contro questo o quel sistema operativo.

    ora mi domando: si può sapere a chi giova tutto ciò? chi perde ore ed ore in questi inutili esercizi non ha proprio niente di meglio da fare?

    io personalmente negli ultimi 20 anni ho usato computer con svariati sistemi operativi: irix, sunos, solaris, linux, tutti i gusti microsoft e ultimamente mac os x.

    con ogni sistema sono riuscito a lavorare e in 20 anni non ho mai preso un virus nè subito alcun tipo di incidente informatico. ho sempre tenuto in ordine i miei computer installando le varie patch che i vendor rendevano disponibili.

    quando devo realizzare un progetto, non parto dai prodotti per poi modellarci sopra la soluzione, ma faccio il contrario! ci sono circostanze in cui impiego unix e le sue varianti e altre in cui impiego i prodotti microsoft.

    secondo me chi perde ore ed ore a scannarsi su quale sistema sia migliore non ha ancora maturato vere esperienze professionali: diversamente vivrebbe la tecnologia con maggiore distacco.
    non+autenticato

  • Per vostra informazione, il tempo in cui Windows
    Server era pieno di falle sono finiti da anni.
    L'ultimo report di Secunia fornisce gli
    imbarazzanti dati (imbarazzanti per i Linari)
    che RedHat ES 3.0 ha 144 falle, mentre
    Windows Server 2003 ne ha solo 44, ed e'
    sul mercato da 18 mesi prima di RedHat!!!!

    http://www.teknologika.com/blog/General/Security/S...

    Questi FUD contro la Microsoft ormai servono
    solo a spaventare gli ignoranti.
    non+autenticato

  • - Scritto da: Anonimo
    >
    > Per vostra informazione, il tempo in cui
    > Windows
    > Server era pieno di falle sono finiti da
    > anni.
    > L'ultimo report di Secunia fornisce gli
    > imbarazzanti dati (imbarazzanti per i
    > Linari)
    > che RedHat ES 3.0 ha 144 falle, mentre
    > Windows Server 2003 ne ha solo 44, ed e'
    > sul mercato da 18 mesi prima di RedHat!!!!
    >

    > www.teknologika.com/blog/General/Security/Ser
    >
    > Questi FUD contro la Microsoft ormai servono
    > solo a spaventare gli ignoranti.

    Allora sono andato su Secunia.com risultato ricerca
    ->View full vulnerability report for a specific product:

    Red Hat
    The Secunia database currently contains 0 Secunia advisories marked as "Unpatched", which affects RedHat Enterprise Linux ES 3.

    This is based on the most severe Secunia advisory, which is marked as "Unpatched" in the Secunia database. Go to Unpatched/Patched list below for details.

    Currently, 0 out of 138 Secunia advisories, is marked as "Unpatched" in the Secunia database.
    ------------------------------------------------------------------------------------
    MS Server 2003
    Microsoft Windows Server 2003 Datacenter Edition with all vendor patches installed and all vendor workarounds applied, is currently affected by one or more Secunia advisories rated Less critical

    This is based on the most severe Secunia advisory, which is marked as "Unpatched" in the Secunia database. Go to Unpatched/Patched list below for details.

    Currently, 5 out of 41 Secunia advisories, is marked as "Unpatched" in the Secunia database.
    ----------------------------------------------------------------------------

    Microsoft Windows Server 2003 Enterprise Edition with all vendor patches installed and all vendor workarounds applied, is currently affected by one or more Secunia advisories rated Less critical

    This is based on the most severe Secunia advisory, which is marked as "Unpatched" in the Secunia database. Go to Unpatched/Patched list below for details.

    Currently, 5 out of 44 Secunia advisories, is marked as "Unpatched" in the Secunia database.

    ----------------------------------------------------------------------------
    Microsoft Windows Server 2003 Standard Edition with all vendor patches installed and all vendor workarounds applied, is currently affected by one or more Secunia advisories rated Less critical

    This is based on the most severe Secunia advisory, which is marked as "Unpatched" in the Secunia database. Go to Unpatched/Patched list below for details.

    Currently, 5 out of 44 Secunia advisories, is marked as "Unpatched" in the Secunia database.

    ----------------------------------------------------------------------------------
    Microsoft Windows Server 2003 Web Edition with all vendor patches installed and all vendor workarounds applied, is currently affected by one or more Secunia advisories rated Moderately critical

    This is based on the most severe Secunia advisory, which is marked as "Unpatched" in the Secunia database. Go to Unpatched/Patched list below for details.

    Currently, 6 out of 45 Secunia advisories, is marked as "Unpatched" in the Secunia database.


    per tua informazione windows 2003 server nelle varie versioni ne ha 21 da sistemare Red Hat 0
    chi sta meglio ?

    DesmoLamps
    ViRuZ
    non+autenticato

  • - Scritto da: Anonimo
    >
    > - Scritto da: Anonimo
    > >
    > > Per vostra informazione, il tempo in
    > cui
    > > Windows
    > > Server era pieno di falle sono finiti
    > da
    > > anni.
    > > L'ultimo report di Secunia fornisce
    > gli
    > > imbarazzanti dati (imbarazzanti per i
    > > Linari)
    > > che RedHat ES 3.0 ha 144 falle, mentre
    > > Windows Server 2003 ne ha solo 44, ed
    > e'
    > > sul mercato da 18 mesi prima di
    > RedHat!!!!
    > >
    >
    > >
    > www.teknologika.com/blog/General/Security/Ser
    > >
    > > Questi FUD contro la Microsoft ormai
    > servono
    > > solo a spaventare gli ignoranti.
    >
    > Allora sono andato su Secunia.com risultato
    > ricerca
    > ->View full vulnerability report for a
    > specific product:
    >
    > Red Hat
    > The Secunia database currently contains 0
    > Secunia advisories marked as "Unpatched",
    > which affects RedHat Enterprise Linux ES 3.
    >
    > This is based on the most severe Secunia
    > advisory, which is marked as "Unpatched" in
    > the Secunia database. Go to
    > Unpatched/Patched list below for details.
    >
    > Currently, 0 out of 138 Secunia advisories,
    > is marked as "Unpatched" in the Secunia
    > database.
    > ---------------------------------------------
    > MS Server 2003
    > Microsoft Windows Server 2003 Datacenter
    > Edition with all vendor patches installed
    > and all vendor workarounds applied, is
    > currently affected by one or more Secunia
    > advisories rated Less critical
    >
    > This is based on the most severe Secunia
    > advisory, which is marked as "Unpatched" in
    > the Secunia database. Go to
    > Unpatched/Patched list below for details.
    >
    > Currently, 5 out of 41 Secunia advisories,
    > is marked as "Unpatched" in the Secunia
    > database.
    > ---------------------------------------------
    >
    > Microsoft Windows Server 2003 Enterprise
    > Edition with all vendor patches installed
    > and all vendor workarounds applied, is
    > currently affected by one or more Secunia
    > advisories rated Less critical
    >
    > This is based on the most severe Secunia
    > advisory, which is marked as "Unpatched" in
    > the Secunia database. Go to
    > Unpatched/Patched list below for details.
    >
    > Currently, 5 out of 44 Secunia advisories,
    > is marked as "Unpatched" in the Secunia
    > database.
    >
    > ---------------------------------------------
    > Microsoft Windows Server 2003 Standard
    > Edition with all vendor patches installed
    > and all vendor workarounds applied, is
    > currently affected by one or more Secunia
    > advisories rated Less critical
    >
    > This is based on the most severe Secunia
    > advisory, which is marked as "Unpatched" in
    > the Secunia database. Go to
    > Unpatched/Patched list below for details.
    >
    > Currently, 5 out of 44 Secunia advisories,
    > is marked as "Unpatched" in the Secunia
    > database.
    >
    > ---------------------------------------------
    > Microsoft Windows Server 2003 Web Edition
    > with all vendor patches installed and all
    > vendor workarounds applied, is currently
    > affected by one or more Secunia advisories
    > rated Moderately critical
    >
    > This is based on the most severe Secunia
    > advisory, which is marked as "Unpatched" in
    > the Secunia database. Go to
    > Unpatched/Patched list below for details.
    >
    > Currently, 6 out of 45 Secunia advisories,
    > is marked as "Unpatched" in the Secunia
    > database.
    >
    >
    > per tua informazione windows 2003 server
    > nelle varie versioni ne ha 21 da sistemare
    > Red Hat 0
    > chi sta meglio ?
    >
    > DesmoLamps
    > ViRuZ

    Lui sta un po' malino, sai com'è, tutto il giorno a rimuovere virus e formattare i piccì smerdati con winzozz....
    non+autenticato

  • - Scritto da: Anonimo
    >
    > Per vostra informazione, il tempo in cui
    > Windows
    > Server era pieno di falle sono finiti da
    > anni.
    > L'ultimo report di Secunia fornisce gli
    > imbarazzanti dati (imbarazzanti per i
    > Linari)
    > che RedHat ES 3.0 ha 144 falle, mentre
    > Windows Server 2003 ne ha solo 44, ed e'
    > sul mercato da 18 mesi prima di RedHat!!!!
    >
    >
    > www.teknologika.com/blog/General/Security/Ser
    >
    > Questi FUD contro la Microsoft ormai servono
    > solo a spaventare gli ignoranti.


    1) FUD è un marchio registrato Microsoft.

    2) Giudicare la sicurezza di un sistema operativo dal numero di advisory è come giudicare la bellezza di una donna dal numero di fischi che riceve... senza guardare se è ad una riunione aziendale vestita con un tailleur grigio oppure al porto di Genova con una minigonna con spacco inguinale...
    non+autenticato

  • - Scritto da: Anonimo
    >
    > Per vostra informazione, il tempo in cui
    > Windows
    > Server era pieno di falle sono finiti da
    > anni.
    > L'ultimo report di Secunia fornisce gli
    > imbarazzanti dati (imbarazzanti per i
    > Linari)
    > che RedHat ES 3.0 ha 144 falle, mentre
    > Windows Server 2003 ne ha solo 44, ed e'
    > sul mercato da 18 mesi prima di RedHat!!!!
    >
    >
    > www.teknologika.com/blog/General/Security/Ser
    >
    > Questi FUD contro la Microsoft ormai servono
    > solo a spaventare gli ignoranti.


    Bum!!!

    Vediamo di leggere gli articoli bene e di cercare bene le proprie informazioni invece di riportare solo notizie pro MS

    Allora io sono andato sul sito di secunia a leggere qualche notiziola. Prima di tutto risulta che le vulnerabilità di Red Hat son state tutte patchate mentra a Ms ne mancano 5
    http://secunia.com/product/2535/
    http://secunia.com/product/1174/

    Sempre dalle stesse pagine risulta che il monitoraggio su windows server 2003 è iniziato nel giugno del 2003 mentre su Red Hat Enterprise Linux ES3 (ora uscito di produzione in favore di ES4 ma ancora supportato) è iniziata nel novembre 2003, che se la matematica non è un'opinione fan 5 mesi.

    Questo non toglie che Red Hat abbia avuto più bachi, ma...

    Red Hat fornisce con il proprio sistema operativo una certa quantità di software aggiuntivo http://www.redhat.com/software/rhel/details/ che rappresenta si un valore aggiunto ma anche una maggiore quantità di software che può contenere errori.

    Questo è quanto volevo dire.

    Hint: Cercare sempre maggiori notizie...
    non+autenticato
  • Attenzione però a non cascare nel calssico errore, infatti redhat ha diversi software al suo interno che che garantisce ed aggiorna con le patch.
    Per win2003 server invece si parla solo del SO e poco di più.

    Non ho letto l'articolo, però bisognerebbe verificare se quelle patch(di redhat) si riferiscono solamente all 'SO oppure come dicevo prima a tutti i software della RH ES 3.0.

    Ciao a tutti

    - Scritto da: Anonimo
    >
    > Per vostra informazione, il tempo in cui
    > Windows
    > Server era pieno di falle sono finiti da
    > anni.
    > L'ultimo report di Secunia fornisce gli
    > imbarazzanti dati (imbarazzanti per i
    > Linari)
    > che RedHat ES 3.0 ha 144 falle, mentre
    > Windows Server 2003 ne ha solo 44, ed e'
    > sul mercato da 18 mesi prima di RedHat!!!!
    >
    >
    > www.teknologika.com/blog/General/Security/Ser
    >
    > Questi FUD contro la Microsoft ormai servono
    > solo a spaventare gli ignoranti.
    non+autenticato
  • >
    > www.teknologika.com/blog/General/Security/Ser

    Powered by: ASP.NET
    non+autenticato
  • Che cavolo di articolo è? Anzi, che cavolo di standard è?

    Per vedere se le patch sono di qualità dovresti parlare con chi le scrive e con tutti quelli che hanno scritto i S.O.
    E vedere la documentazione, e i sorgenti, e condividere le politiche sulla disclosure di ogni azienda da esamminare.

    In pratica, visto che questo non è possibile (sbaglio o sono citate solo robe closed source?), ci si dovrà fidare di quello che ci dice l'addetto stampa.

    In pratica sarà la solita solfa: "Vi giuro che siamo stati attenti, non abbiamo aggiunto più falle di quelle che abbiamo chiuso, il rischio è basso, ci sono tanti di quei mitigating factors che la patch era quasi inutile, ..."

    Ma noi siamo già abituati a tutto questo, quindi traducono ogni frase di quelle che ho scritto con un punteggio. Se hai un punteggio buono puoi fidarti;)


  • Che bisogno ha un utente linux o osx di una classificazione delle patches se il sistema operativo e la qualita' dei pacchetti sono tali da poter installare nel tempo centinaia di mega senza mettere in pericolo la stabilita' della macchina?OcchiolinoTroll
  • Nessuna .... ma all'utonto MS serve, perchè ha poco tempo e voglia e installa quello che capita.
    Be inSecure, be Microsoft.
    non+autenticato

  • - Scritto da: Anonimo
    > Nessuna .... ma all'utonto MS serve,
    > perchè ha poco tempo e voglia e
    > installa quello che capita.
    > Be inSecure, be Microsoft.

    your money.. our passion

    Fan LinuxFan Linux
    non+autenticato

  • - Scritto da: Anonimo
    > Nessuna .... ma all'utonto MS serve,
    > perchè ha poco tempo e voglia e
    > installa quello che capita.
    > Be inSecure, be Microsoft.

    Tranquillo tu hai fatto la scelta giusta.
    Tutti gli altri sono imbecilli, ovvio.
    Mica ovvio per loro però, quindi fai bene a cercare di fargli capire che sono inbecilli.
    In effetti quando uno si sente dare dell'imbecille è sempre disposto ad ascoltare il suo interlocutore, quindi la tua strategia è perfetta.
    In bocca al lupo per la tua missione.



    non+autenticato

  • - Scritto da: Anonimo
    >
    > - Scritto da: Anonimo
    > > Nessuna .... ma all'utonto MS serve,
    > > perchè ha poco tempo e voglia e
    > > installa quello che capita.
    > > Be inSecure, be Microsoft.
    >
    > Tranquillo tu hai fatto la scelta giusta.
    > Tutti gli altri sono imbecilli, ovvio.
    > Mica ovvio per loro però, quindi fai
    > bene a cercare di fargli capire che sono
    > inbecilli.
    > In effetti quando uno si sente dare
    > dell'imbecille è sempre disposto ad
    > ascoltare il suo interlocutore, quindi la
    > tua strategia è perfetta.
    > In bocca al lupo per la tua missione.
    >
    A me sembra un'ottima strategia l'imbecille si offende, non dà retta e si ritrova a fare da parafulmine, non sarà politically correct, ma è un mondo darwinisticamente perfetto, anzi, quasi, sarebbe perfetto se virus, worm e trojan, in quantità eccessiva, danneggiassero l'apparato riproduttivo...
    ...eureka, spargiamo la voce che un nuovo virus infetta i driver video in modo che al refresh di ogni quadro, prima di tornare in alto, il pennello elettronico venga puntato al di sotto del bordo inferiore schermato del tubo catodico, dritto sulle gonadi!
    non+autenticato

  • > > In effetti quando uno si sente dare
    > > dell'imbecille è sempre disposto ad
    > > ascoltare il suo interlocutore, quindi la
    > > tua strategia è perfetta.
    > > In bocca al lupo per la tua missione.
    > >
    >
    > A me sembra un'ottima strategia l'imbecille
    > si offende, non dà retta e si ritrova
    > a fare da parafulmine, non sarà
    > politically correct, ma è un mondo
    > darwinisticamente perfetto, anzi, quasi,
    > sarebbe perfetto se virus, worm e trojan, in
    > quantità eccessiva, danneggiassero
    > l'apparato riproduttivo...

    ma LOL! quoto tutto, continuate ad usare Windows che va bene così, basta che non rompiate le O.o al prossimo
    :D

    Fan AppleFan Linux
    non+autenticato

  • > continuate ad usare
    > Windows che va bene così, basta che
    > non rompiate le O.o al prossimo

    Quello che appunto si fa, dando dell'imbecille agli altri.
    non+autenticato
  • Se fosse possibile, in effetti, l'utente linux non ne avrebbe bisogno. Così non è.
    non+autenticato
  • 1) Non si è parlato di MacOSX in questo articolo
    2) Come al solito appena c'è scritto ms subito a trollare
    3) Niente di meglio da fare di postare FLAME?A bocca aperta

    Avete rotto!!Arrabbiato
    non+autenticato
  • Anche tu!
    non+autenticato

  • - Scritto da: Anonimo
    > Se fosse possibile, in effetti, l'utente
    > linux non ne avrebbe bisogno. Così
    > non è.

    facciamo cosi', la prima volta che una patch di sicurezza mi crea casini vi avvertoSorride