A06:2021 – Componentes Vulnerables y Desactualizados Flashcards
Cual es la unica vulnerabilidad qe no tiene enumeraciones de debilidades comunes (CWE) asignadas a las CWE incluidas?
Componentes Vulnerables y Desactualizados
Cuales son las CWE mas notables en Componentes Vulnerables y Desactualizados?
- CWE-1104: Uso de componentes de terceros no mantenidos
Cuando se puede llegar a ser vulnerable a Componentes Vulnerables y Desactualizados?
- Si no conoce las versiones de todos los componentes que utiliza (tanto en el cliente como en el servidor). Esto incluye los componentes que usa directamente, así como las dependencias anidadas.
- Si el software es vulnerable, carece de soporte o no está actualizado. Esto incluye el sistema operativo, el servidor web/de aplicaciones, el sistema de administración de bases de datos (DBMS), las aplicaciones, las API y todos los componentes, los entornos de ejecución y las bibliotecas.
- Si no analiza en búsqueda de vulnerabilidades de forma regular y no se suscribe a los boletines de seguridad relacionados con los componentes que utiliza.
- Si no repara o actualiza la plataforma subyacente, frameworks y dependencias de manera oportuna y basada en el riesgo.
- Si los desarrolladores de software no testean la compatibilidad de las bibliotecas actualizadas, actualizadas o parcheadas.
- Si no asegura las configuraciones de los componentes
Como se previene la vulnerabilidad de Componentes Vulnerables y Desactualizados
Debe existir un proceso de administración de parches que:
* Elimine las dependencias que no son utilizadas, funcionalidades, componentes, archivos y documentación innecesarios.
* Realice un inventario continuo de las versiones de los componentes en el cliente y en el servidor (por ejemplo, frameworks, bibliotecas) y sus dependencias
* Solo obtenga componentes de fuentes oficiales a través de enlaces seguros
* Supervise las bibliotecas y los componentes que no sea mantenidos o no generen parches de seguridad para versiones anteriores. Si la aplicación de parches no es posible, considere implementar un parche virtual para monitorear, detectar o protegerse contra el problema descubierto.
De que vulnerabilidad es el siguiente ejemplo?
Los componentes normalmente se ejecutan con los mismos privilegios que la propia aplicación, por lo que las fallas en cualquier componente pueden tener un impacto grave. Tales fallas pueden ser accidentales (por ejemplo, error de codificación) o intencionales (por ejemplo, una puerta trasera en un componente).
Componentes Vulnerables y Desactualizados
Cual es el top de Componentes Vulnerables y Desactualizados?
6
