ใช่ผลิตภัณฑ์เช่น VMware ควรจะ patched บางครั้ง ( ปรับปรุงเป็นที่สะสม ) แต่แพทช์มาน้อยกว่าระบบปฏิบัติการฉีดและเวกเตอร์การโจมตีที่อาจเกิดขึ้นมีขนาดเล็ก - ไฮเปอร์ไวเซอร์ของคุณไม่ควรจะสาธารณชนสามารถเข้าถึง
ฉันจะใช้ VMware ESXi เวอร์ชัน 5.0 (ไม่ใช่ 5.1) เป็นตัวอย่าง ...
ESXi 5.0 มีกำหนดการอัพเดทต่อไปนี้:
ระหว่าง 9/2011 และปัจจุบันมีการปรับปรุงTENสำหรับผลิตภัณฑ์ ESXi 5.0 นอกเหนือจากนั้นSIXคือการอัปเดตที่เน้นเรื่องความปลอดภัยที่รวมอยู่ในบันเดิลการอัพเดตพร้อมคำอธิบายเช่น:
"การจราจร ESXi NFS แยกช่องโหว่" - CVE-2012-2448
ช่องโหว่ด้านความปลอดภัยเหล่านี้เป็นของจริงเนื่องจากบางครั้งพวกเขาสะท้อนข้อบกพร่องด้านความปลอดภัยทั่วไปของ Linux แต่ฉันคิดว่าองค์กรส่วนใหญ่ไม่เสี่ยงต่อความเสี่ยง แต่ก็ขึ้นอยู่กับวิศวกรว่าจะประเมินความเสี่ยงนี้อย่างไร ผู้ใช้ของคุณต้องการหยุดทำงานครั้งใหญ่เพื่อแก้ไขการหาประโยชน์ดังต่อไปนี้หรือไม่
"มาโคร encode_name ใน misc / mntent_r.c ในไลบรารี GNU C (aka glibc หรือ libc6) 2.11.1 และก่อนหน้านี้ซึ่งใช้โดย ncpmount และ mount.cifs ไม่สามารถจัดการอักขระบรรทัดใหม่ในชื่อเมานต์ได้อย่างถูกต้อง เพื่อทำให้เกิดการปฏิเสธการบริการ (ความเสียหายของ mtab) หรืออาจแก้ไขตัวเลือกการเมานต์และรับสิทธิ์ผ่านคำขอเมาท์ที่สร้างขึ้น "
อาจจะ? อาจจะไม่.
ฉันเรียกใช้ตัวจัดการการอัปเดตของ VMwareแต่มีแนวโน้มที่จะอัปเดตหากฉันได้รับผลกระทบจากข้อบกพร่องหรือต้องการการปรับปรุงคุณสมบัติ เมื่อรันในการตั้งค่าแบบคลัสเตอร์การแพตช์ทำได้ง่ายโดยไม่มีการหยุดทำงานของ VM หากไม่มีเหตุผลอื่นเร่งด่วนฉันจะพยายามอัปเดตรายไตรมาส โฮสต์แต่ละรายการจะต้องมีการรีบูทแบบเต็มเนื่องจากแพทช์จะถูกส่งเป็นภาพเสาหิน
ตามหมายเหตุด้านข้างเมื่อใดก็ตามที่ฉันได้รับการติดตั้ง VMware ESXi หรือทำงานบนระบบที่ฉันไม่ได้จัดการตามปกติฉันมักเห็นโฮสต์ที่ใช้งานซึ่งไม่เคยมีโปรแกรมปรับปรุง VMware มาใช้เลย ว่าเป็นสิ่งที่ผิด!! แต่ฉันเห็นได้ว่าผู้ดูแลระบบสามารถทำผิดพลาดได้อย่างไรเมื่อระบบเริ่มทำงาน