예. VMware와 같은 제품은 때때로 패치되어야 하지만 ( 업데이트 는 누적 적이지만) 패치는 기본 운영 체제보다 자주 나오지 않으며 잠재적 공격 경로는 더 작습니다 . 하이퍼 바이저는 공개적으로 액세스 할 수 없습니다 .
VMware ESXi 버전 5.0 (5.1 아님)을 예로 사용하겠습니다.
ESXi 5.0의 업데이트 일정은 다음과 같습니다.
2011 년 9 월부터 현재까지 ESXi 5.0 제품에 대한 TEN 업데이트 가있었습니다 . 그 중 SIX 는 다음과 같은 설명으로 보안 번들 업데이트를 업데이트 번들로 롤업했습니다.
"ESXi를 NFS 트래픽 분석 취약점" - CVE-2,012에서 2,448 사이 .
이러한 보안 취약점은 실제 Linux 보안 버그를 반영하기 때문에 실제로 발생하지만 대부분의 조직은 이러한 위험에 취약하지 않다고 생각합니다. 그러나이 위험을 평가하는 것은 엔지니어의 책임입니다. 사용자가 다음과 같은 익스플로잇 을 해결하기 위해 대규모 다운 타임을 원 하십니까?
"ncpmount 및 mount.cifs에서 사용하는 GNU C 라이브러리 (일명 glibc 또는 libc6) 2.11.1 이하의 misc / mntent_r.c에있는 encode_name 매크로는 마운트 포인트 이름에서 개행 문자를 올바르게 처리하지 않아 로컬 사용자가 허용합니다 "마운트 된 마운트 요청을 통해 서비스 거부 (mtab 손상)를 유발하거나 마운트 옵션을 수정하고 권한을 얻을 수 있습니다."
아마도? 아마.
VMware의 Update Manager를 실행 하지만 버그의 영향을 받거나 기능 향상이 필요한 경우에만 업데이트되는 경향이 있습니다. 클러스터 된 설정에서 실행할 때 실행중인 VM에 대한 다운 타임없이 패치 적용이 쉽습니다. 다른 긴급한 이유가 없으면 분기별로 업데이트하려고합니다. 패치는 단일 이미지로 제공되므로 개별 호스트를 완전히 재부팅해야합니다.
부수적으로, VMware ESXi 설정을 상속 받거나 정상적으로 관리하지 않는 시스템에서 작업 할 때마다 VMware 패치가 적용 되지 않은 호스트가 실행되는 경우가 종종 있습니다 . 그게 잘못이야 !! 그러나 시스템이 가동되면 관리자가 실수를 저지르는 방법을 알 수 있습니다.