Wat zijn de risico's van het gebruik van een verouderde Ubuntu-versie?

Question 1

Kan iemand mij vertellen over de risico's die het gebruik van een oudere versie van Ubuntu (10.04) zou kunnen hebben? Ik ben een eenvoudige gebruiker die een pc gebruikt voor websurfen, Libreoffice en entertainment (films kijken, muziek kijken, enz.).

PS: ik ben me al bewust van lichtgewicht distributies en andere desktops, maar wat ik ben zoek is een oudere kernel die mijn oude (niet ondersteunde) hardware kan ondersteunen.

PS II: Toen ik in Windows was, gebruikte ik XP en 7 zonder antivirus voor dezelfde doeleinden. Is het gebruik van oudere versies van Ubuntu riskanter dan dat?

UPDATE: Met risico bedoel ik beveiligingsrisico's zoals bugs, bekende problemen of misschien het slachtoffer worden van hackers en wordt persoonlijke informatie gestolen! Dit soort dingen.

Question 2

как уже упоминали другие, нам нужно будет давать общие ответы без дополнительной информации. Но давайте рассмотрим это как случайную настольную башню с общим процессором Intel, универсальным драйвером NVIDIA 304, как вы упомянули, и Ubuntu 16.10 или более ранней версии.

Я не собираюсь делать вывод о вашем варианте использования, вместо этого я Прямой подход заключается в предоставлении инструментов, которые могут быть использованы при любом сценарии - списки уязвимостей и эксплойтов ! Каждая операционная система неизбежно будет иметь программное обеспечение, которое однажды обнаружит уязвимость в системе безопасности, и, возможно, кто-то создаст эксплойт для этой уязвимости, чтобы по-настоящему воспользоваться ею, однако количество таких компромиссов свободно измеряется рядом веб-сайтов с помощью отчетов. Один такой веб-сайт, метко названный cvedetails.com https://www.cvedetails.com/index.php , был надежным для меня в прошлом как системного администратора.

Не все программное обеспечение, вероятно, будет работать имеют уязвимости или эксплойты, например, вероятность того, что базовый текстовый редактор или музыкальный проигрыватель сможет разрешить кому-либо удаленный доступ к вашей системе и получить повышенные привилегии (доступ к root) или запретить вам использовать компьютер (отказ в обслуживании).

Но давайте проверим эту последнюю мысль, являются ли уязвимости для xed или Rhythmbox ? Согласно данным CVE, они есть для Rhythmbox, но, насколько нам известно, только в 2009 и 2012 годах! Xed, с другой стороны, даже не появляется! Так что насчет чего-то вроде Ubuntu? Что ж, к счастью, вам не нужно искать каждое доступное программное обеспечение в Ubuntu, вам нужно только посмотреть на две вещи:

Ubuntu ( Продукты и уязвимости ИЛИ; Версия Ubuntu, например Ubuntu 16.04 )
Debian ! Потому что это база / корень , и он поддерживает большую часть программного обеспечения, которое использует Ubuntu.

Всегда важно искать восходящий поток, даже если ваш апстрим опережает или отстает от нисходящего по версии. Например, Debian часто отстает от Ubuntu в обновлениях, потому что это просто способ запуска проекта для стабильности - и все же, поскольку они по-прежнему являются основными сопровождающими, вы можете ясно видеть, что у них гораздо больше уязвимостей, специфичных для операционной системы.

Что-то Следует отметить, что страница уязвимостей и эксплойтов Ubuntu не включает ничего из настраиваемых PPA, за исключением встроенной системы, используемой для установки PPA.

Если вы откажетесь от пользовательского программного обеспечения, ваш старый процессор Intel может иметь ряд связанных уязвимостей. с ним тоже. Например, Spectre затронул ряд операционных систем, и все указанные ссылки на Spectre можно найти в ссылке на cvedetails, но в будущем вы всегда можете использовать поисковую систему, такую как Google, для поиска «site: cvedetails product exploitname ", если вы не знаете указанный номер CVE. В более новых операционных системах или операционных системах, которые получили обновления безопасности, будет исправлено что-то вроде Spectre, поэтому, если у вас закончились обновления безопасности и вы думаете, что позже можете столкнуться с риском запуска кода эксплойта для этой уязвимости, то, возможно, вы должен обновиться.

Если у кого-то есть вопросы, дайте мне знать, рад помочь!

Question 3

Question 4

Если вы не в сети, риски отсутствуют (хотя, если вы используете файлы, передаваемые через флэш-накопитель USB и т. д., они больше не пустые, но все еще маленькие).

Я бы не стал просматривать веб-страницы с такой машины и, вероятно, ограничил бы его уникальной VLAN на в локальной сети, поскольку это возможно (вы не предоставили подробностей), некоторые программы, если они используют сетевые данные, могут вызвать повышенный риск для других машин в вашей сети (машина будет легкой добычей для нападения, особенно.

Вы не указали конкретное использование машины, я уже упоминал, что ограничу ее собственной VLAN и не позволю другим машинам в моей локальной сети разговаривать с ней. Я бы также посмотрел, какие программы я должен был использовать, и поискать недостатки, которые были обнаружены в этом программном обеспечении, но никогда не были исправлены для вашей системы EOL . Эти проверки (или домашнее задание ) отнимают много времени и являются частью того, почему обновление до поддерживаемого программного обеспечения проще и безопаснее.

Многие конфиденциальные атаки на браузеры специфичны для браузера , например. если он нацелен на Chrome (или firefox ), он повлияет на пользователей независимо от ОС (так что пользователи Windows, Mac и GNU / Linux почти одинаково). В этих случаях; использование старого браузера повысит риск безопасности , на мой взгляд , если только не используется атипичный браузер, такой как lynx , который не запускает скрипты, обычно используемые для таких атак ( таким образом с меньшим риском атаки ).

Вы упоминаете 10.04, который достиг EOL 30 апреля 2015 г. для серверов и 9 мая 2013 г. для настольных компьютеров ( https://fridge.ubuntu.com/2015/04/30/ubuntu-10-04-lucid-lynx-end-of-life-reached-on-april-30-2015/ https: //wiki.ubuntu.com/Releases), так что это множество потенциальных угроз безопасности, от которых вы не исправлены, и много домашних заданий для обеспечения безопасности вашей системы.

Если бы вы говорили о, скажем, Lubuntu 16.04 LTS , где сам рабочий стол был EOL с апреля 2019 года, но база Ubuntu по-прежнему получает исправления безопасности, меня беспокоит меньше , а также количество домашних заданий , которое мне понадобится делать для оценки рисков гораздо меньше, и я могу это рассмотреть ( Я бы по-прежнему относился к коробке с беспокойством и был осторожен с тем, что я с ней сделал; но я в любом случае несколько осторожен, имея несколько ящиков, я делаю определенные вещи на ).

( Ubuntu 16.04 LTS может иметь расширенную безопасность, когда она достигает EOL в 2019-апреле, за счет использования ESM , который может включать в себя платную подписку, но также доступен бесплатно в долларах США. Он не включает все пакеты, но все же имеет гораздо меньший риск безопасности, чем, скажем, 10.04 LTS )

Риски будут разными. в вашем сценарии использования установленные пакеты, протоколы, которые эти пакеты используют ( с использованием сетевого трафика c), а также какая система вы установили и что было обнаружено с момента прекращения обслуживания безопасности. Да, это можно оценить (домашнее задание ), но поскольку время часто дороже оборудования, стоит ли оно того?

Question 5

С точки зрения безопасности, если все, что вы делаете, - это веб-серфинг, Libreoffice и развлечения, а не запускаете сервер или что-то еще, и вы используете его дома и не подключены к публичной сети все время , риск взлома очень низкий даже без обновлений безопасности. В любом случае системы Ubuntu почти никогда не становятся мишенью. Просто будьте умны при серфинге в Интернете. Более важными являются драйверы Linux, некоторые из которых могут быть проприетарными. Возможно, вам не хватает некоторых драйверов для новейшего оборудования или периферийных устройств, но для вас это не имеет значения, если вы просто просматриваете Интернет весь день. Даже если они вам нужны, вы можете просто установить их вручную, не обновляя всю версию ubuntu. Короче говоря, если у вас есть ограничения и вы не хотите обновлять ubuntu, нет значительных рисков.

score 0 · Answer 1 · 3 January 2021 в 22:46

как уже упоминали другие, нам нужно будет давать общие ответы без дополнительной информации. Но давайте рассмотрим это как случайную настольную башню с общим процессором Intel, универсальным драйвером NVIDIA 304, как вы упомянули, и Ubuntu 16.10 или более ранней версии.

Я не собираюсь делать вывод о вашем варианте использования, вместо этого я Прямой подход заключается в предоставлении инструментов, которые могут быть использованы при любом сценарии - списки уязвимостей и эксплойтов ! Каждая операционная система неизбежно будет иметь программное обеспечение, которое однажды обнаружит уязвимость в системе безопасности, и, возможно, кто-то создаст эксплойт для этой уязвимости, чтобы по-настоящему воспользоваться ею, однако количество таких компромиссов свободно измеряется рядом веб-сайтов с помощью отчетов. Один такой веб-сайт, метко названный cvedetails.com https://www.cvedetails.com/index.php , был надежным для меня в прошлом как системного администратора.

Не все программное обеспечение, вероятно, будет работать имеют уязвимости или эксплойты, например, вероятность того, что базовый текстовый редактор или музыкальный проигрыватель сможет разрешить кому-либо удаленный доступ к вашей системе и получить повышенные привилегии (доступ к root) или запретить вам использовать компьютер (отказ в обслуживании).

Но давайте проверим эту последнюю мысль, являются ли уязвимости для xed или Rhythmbox ? Согласно данным CVE, они есть для Rhythmbox, но, насколько нам известно, только в 2009 и 2012 годах! Xed, с другой стороны, даже не появляется! Так что насчет чего-то вроде Ubuntu? Что ж, к счастью, вам не нужно искать каждое доступное программное обеспечение в Ubuntu, вам нужно только посмотреть на две вещи:

Ubuntu ( Продукты и уязвимости ИЛИ; Версия Ubuntu, например Ubuntu 16.04 )
Debian ! Потому что это база / корень , и он поддерживает большую часть программного обеспечения, которое использует Ubuntu.

Всегда важно искать восходящий поток, даже если ваш апстрим опережает или отстает от нисходящего по версии. Например, Debian часто отстает от Ubuntu в обновлениях, потому что это просто способ запуска проекта для стабильности - и все же, поскольку они по-прежнему являются основными сопровождающими, вы можете ясно видеть, что у них гораздо больше уязвимостей, специфичных для операционной системы.

Что-то Следует отметить, что страница уязвимостей и эксплойтов Ubuntu не включает ничего из настраиваемых PPA, за исключением встроенной системы, используемой для установки PPA.

Если вы откажетесь от пользовательского программного обеспечения, ваш старый процессор Intel может иметь ряд связанных уязвимостей. с ним тоже. Например, Spectre затронул ряд операционных систем, и все указанные ссылки на Spectre можно найти в ссылке на cvedetails, но в будущем вы всегда можете использовать поисковую систему, такую как Google, для поиска «site: cvedetails product exploitname ", если вы не знаете указанный номер CVE. В более новых операционных системах или операционных системах, которые получили обновления безопасности, будет исправлено что-то вроде Spectre, поэтому, если у вас закончились обновления безопасности и вы думаете, что позже можете столкнуться с риском запуска кода эксплойта для этой уязвимости, то, возможно, вы должен обновиться.

Если у кого-то есть вопросы, дайте мне знать, рад помочь!

score 3 · Answer 2 · 3 January 2021 в 22:46

Если вы не в сети, риски отсутствуют (хотя, если вы используете файлы, передаваемые через флэш-накопитель USB и т. д., они больше не пустые, но все еще маленькие).

Я бы не стал просматривать веб-страницы с такой машины и, вероятно, ограничил бы его уникальной VLAN на в локальной сети, поскольку это возможно (вы не предоставили подробностей), некоторые программы, если они используют сетевые данные, могут вызвать повышенный риск для других машин в вашей сети (машина будет легкой добычей для нападения, особенно.

Вы не указали конкретное использование машины, я уже упоминал, что ограничу ее собственной VLAN и не позволю другим машинам в моей локальной сети разговаривать с ней. Я бы также посмотрел, какие программы я должен был использовать, и поискать недостатки, которые были обнаружены в этом программном обеспечении, но никогда не были исправлены для вашей системы EOL . Эти проверки (или домашнее задание ) отнимают много времени и являются частью того, почему обновление до поддерживаемого программного обеспечения проще и безопаснее.

Многие конфиденциальные атаки на браузеры специфичны для браузера , например. если он нацелен на Chrome (или firefox ), он повлияет на пользователей независимо от ОС (так что пользователи Windows, Mac и GNU / Linux почти одинаково). В этих случаях; использование старого браузера повысит риск безопасности , на мой взгляд , если только не используется атипичный браузер, такой как lynx , который не запускает скрипты, обычно используемые для таких атак ( таким образом с меньшим риском атаки ).

Вы упоминаете 10.04, который достиг EOL 30 апреля 2015 г. для серверов и 9 мая 2013 г. для настольных компьютеров ( https://fridge.ubuntu.com/2015/04/30/ubuntu-10-04-lucid-lynx-end-of-life-reached-on-april-30-2015/ https: //wiki.ubuntu.com/Releases), так что это множество потенциальных угроз безопасности, от которых вы не исправлены, и много домашних заданий для обеспечения безопасности вашей системы.

Если бы вы говорили о, скажем, Lubuntu 16.04 LTS , где сам рабочий стол был EOL с апреля 2019 года, но база Ubuntu по-прежнему получает исправления безопасности, меня беспокоит меньше , а также количество домашних заданий , которое мне понадобится делать для оценки рисков гораздо меньше, и я могу это рассмотреть ( Я бы по-прежнему относился к коробке с беспокойством и был осторожен с тем, что я с ней сделал; но я в любом случае несколько осторожен, имея несколько ящиков, я делаю определенные вещи на ).

( Ubuntu 16.04 LTS может иметь расширенную безопасность, когда она достигает EOL в 2019-апреле, за счет использования ESM , который может включать в себя платную подписку, но также доступен бесплатно в долларах США. Он не включает все пакеты, но все же имеет гораздо меньший риск безопасности, чем, скажем, 10.04 LTS )

Риски будут разными. в вашем сценарии использования установленные пакеты, протоколы, которые эти пакеты используют ( с использованием сетевого трафика c), а также какая система вы установили и что было обнаружено с момента прекращения обслуживания безопасности. Да, это можно оценить (домашнее задание ), но поскольку время часто дороже оборудования, стоит ли оно того?

score 1 · Answer 3 · 3 January 2021 в 22:46

С точки зрения безопасности, если все, что вы делаете, - это веб-серфинг, Libreoffice и развлечения, а не запускаете сервер или что-то еще, и вы используете его дома и не подключены к публичной сети все время , риск взлома очень низкий даже без обновлений безопасности. В любом случае системы Ubuntu почти никогда не становятся мишенью. Просто будьте умны при серфинге в Интернете. Более важными являются драйверы Linux, некоторые из которых могут быть проприетарными. Возможно, вам не хватает некоторых драйверов для новейшего оборудования или периферийных устройств, но для вас это не имеет значения, если вы просто просматриваете Интернет весь день. Даже если они вам нужны, вы можете просто установить их вручную, не обновляя всю версию ubuntu. Короче говоря, если у вас есть ограничения и вы не хотите обновлять ubuntu, нет значительных рисков.

Wat zijn de risico's van het gebruik van een verouderde Ubuntu-versie?

3 ответа

Другие вопросы по тегам:

Похожие вопросы: