アカウント名:
パスワード:
こう書くとマイナスモデされそうですが、ボランティアが減ってるせいなのか最近のdistributionの脆弱性対応の早さには問題があり、本家のupdateがpackage management systemに反映されるまで1~2か月かかるのが当たり前だったりします
毎日cronでyum update回してますからセキュリティはばっちりです^^ なんていうシス管が一般的ですが、そういうサーバは1か月以上も0 day同然の状態に晒されているわけ
毎日脆弱性情報チェックして手動でソースビルドできない人は素直にWindows Server使った方が安全ですよWindows ServerはLinux Serverより危険だというのは過去の話で今は逆転していますライセンス料の観点からLinuxが流行ってるだけの事です
毎日cronでyum update回してますからセキュリティはばっちりです^^ なんていうシス管が一般的ですが
書いたやつのレベルの低さが良くわかる一文。俺の周りの世界だとまったく一般的じゃないどころか見たことすらない。
そうだよね。単なるパッチでもシステムに影響出てくることがあるから、まずはステージング環境に適用してテスト工程を経てからじゃないと本番環境には当てられないわ。毎日自動処理で好き勝手にパッチ当てられるとか、2~3日ダウンしても問題無いような低レベルなサーバなんだろうな。
どんなに早くても商用環境だと
水曜:パッチリリース確認、直近のイメージBKから環境構築、検証木曜:顧客報告金曜:顧客が作業承認土日:パッチ適用
とかになるからねぶっちゃけ0DAY対応どころか2~3日は空くっていうね
顧客定例が月一だから早くても来週末に対応だーとかの方が多そう
Java脆弱性問題での徳丸 浩の発言よりhttps://twitter.com/ockeghem/status/841513670555312128 [twitter.com]
> 3年ほど前から、「パッチ適用による副作用を検証していたのでは間にあわない」とセミナー等では言い続けていたのですが、恐れていたことが現実になりました。切り戻し手段を確保しておいていきなりパッチ適用するとかしないと間に合わない
シス管個人の問題じゃどうにもならんけど重要なセキュリティパッチについてはパッチリリース確認したら検証せずにただちに当てないと間に合わないGMOのシステムでもパッチ検証している間に脆弱性突かれて個人情報漏えいというパターンが常習化しているしな
検証なしでパッチ当ててサービスが止まった時、すぐロールバックすれば客から責任追及されないなら、いくらでもそうするんですがね。まあ、客は客で、ビジネス相手や末端利用者に同じことを思ってるでしょうが。世の中全体が「安全のためならサービス停止や不便を許容する」ようにならないと無理でしょうね。
でも最近のアメリカ資本系は検証なしで適用してるっぽいんだけどね。SpectreMeltdownで即日対応してたAWSやAzureとか・・・。その後でインテルのバグが見つかってるけど切り戻しもせずにそのままだったし。
Spectre/Meltdownは関係各所には事前に通知されてたから検証は公開前に済ませてたんじゃないの?
そうです検証どおり本番でも落ちたので問題ありますん
サーバ落ちてもセキュリティリスク回避を取った形なので日本企業ではあり得ない「判断」だよね。情報リークが想定外のタイミングだったので検証不十分なままで見切り発車した感はあるんだけど。
向こうの国だと「パッチ出てるのに対応しなかった」は訴訟の対象になるけど、「最悪の事態回避への努力の結果」だったら問題ないってことかな。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ハッカーとクラッカーの違い。大してないと思います -- あるアレゲ
Linux はソースビルドしない限り危険、Windows Server を使おう (スコア:1)
こう書くとマイナスモデされそうですが、ボランティアが減ってるせいなのか最近のdistributionの脆弱性対応の早さには問題があり、本家のupdateがpackage management systemに反映されるまで1~2か月かかるのが当たり前だったりします
毎日cronでyum update回してますからセキュリティはばっちりです^^ なんていうシス管が一般的ですが、そういうサーバは1か月以上も0 day同然の状態に晒されているわけ
毎日脆弱性情報チェックして手動でソースビルドできない人は素直にWindows Server使った方が安全ですよ
Windows ServerはLinux Serverより危険だというのは過去の話で今は逆転しています
ライセンス料の観点からLinuxが流行ってるだけの事です
Re: (スコア:0)
毎日cronでyum update回してますからセキュリティはばっちりです^^ なんていうシス管が一般的ですが
書いたやつのレベルの低さが良くわかる一文。
俺の周りの世界だとまったく一般的じゃないどころか見たことすらない。
Re: (スコア:1)
そうだよね。
単なるパッチでもシステムに影響出てくることがあるから、まずはステージング環境に適用してテスト工程を経てからじゃないと本番環境には当てられないわ。
毎日自動処理で好き勝手にパッチ当てられるとか、2~3日ダウンしても問題無いような低レベルなサーバなんだろうな。
Re: (スコア:0)
どんなに早くても商用環境だと
水曜:パッチリリース確認、直近のイメージBKから環境構築、検証
木曜:顧客報告
金曜:顧客が作業承認
土日:パッチ適用
とかになるからね
ぶっちゃけ0DAY対応どころか2~3日は空くっていうね
顧客定例が月一だから早くても来週末に対応だーとかの方が多そう
典型的な駄目日本人社会の縮図って感じ (スコア:0)
Java脆弱性問題での徳丸 浩の発言より
https://twitter.com/ockeghem/status/841513670555312128 [twitter.com]
> 3年ほど前から、「パッチ適用による副作用を検証していたのでは間にあわない」とセミナー等では言い続けていたのですが、恐れていたことが現実になりました。切り戻し手段を確保しておいていきなりパッチ適用するとかしないと間に合わない
シス管個人の問題じゃどうにもならんけど
重要なセキュリティパッチについてはパッチリリース確認したら検証せずにただちに当てないと間に合わない
GMOのシステムでもパッチ検証している間に脆弱性突かれて個人情報漏えいというパターンが常習化しているしな
Re: (スコア:0)
検証なしでパッチ当ててサービスが止まった時、すぐロールバックすれば客から責任追及されないなら、いくらでもそうするんですがね。
まあ、客は客で、ビジネス相手や末端利用者に同じことを思ってるでしょうが。世の中全体が「安全のためならサービス停止や不便を許容する」ようにならないと無理でしょうね。
Re: (スコア:0)
でも最近のアメリカ資本系は検証なしで適用してるっぽいんだけどね。
SpectreMeltdownで即日対応してたAWSやAzureとか・・・。
その後でインテルのバグが見つかってるけど切り戻しもせずにそのままだったし。
Re: (スコア:0)
Spectre/Meltdownは関係各所には事前に通知されてたから検証は公開前に済ませてたんじゃないの?
Re:典型的な駄目日本人社会の縮図って感じ (スコア:0)
Spectre/Meltdownは関係各所には事前に通知されてたから検証は公開前に済ませてたんじゃないの?
そうです検証どおり本番でも落ちたので問題ありますん
Re: (スコア:0)
サーバ落ちてもセキュリティリスク回避を取った形なので日本企業ではあり得ない「判断」だよね。
情報リークが想定外のタイミングだったので検証不十分なままで見切り発車した感はあるんだけど。
向こうの国だと「パッチ出てるのに対応しなかった」は訴訟の対象になるけど、
「最悪の事態回避への努力の結果」だったら問題ないってことかな。