quarta-feira, 12 de março de 2008

Atualizações de Segurança da Cisco

A Cisco anunciou recentemente que irá mudar a política de liberação de atualizações de segurança para o seu sistema operacional carro-chefe Cisco IOS. As atualizações serão liberadas duas vezes ao ano (na quarta quarta-feira de março e de setembro) começando no próximo dia 26 de março. De acordo com as informações do site da Cisco, esta ação é uma resposta aos pedidos dos clientes para que as atualizações fossem liberadas ao público seguindo um calendário pré-definido.

A reação nas listas de discussão foi imediata. Há aqueles que gostaram e há aqueles que não gostaram. À primeira vista pode parecer estranho atualizar as brechas de segurança duas vezes ao ano, no entanto, essa visão pode não ser tão clara quanto parece. Atualmente a Oracle e a Microsoft (duas empresas que também possuem um parque instalado muito grande) também seguem um padrão para liberação de correções de segurança; quadrimestral e mensal, respectivamente. Entretanto, nenhuma destas empresas deixou de responder a um problema crítico de segurança da forma mais ágil possível e é isso que a Cisco está prometendo:

"This schedule change will not restrict us from promptly publishing an individual IOS Security Advisory for a serious vulnerability which is publicly disclosed or for which we are aware of active exploitation." (Ufa!)

Até o momento a Cisco tem liberado as atualizações de vulnerabilidades com pouco intervalo de tempo. Esse processo continuará para as vulnerabilidades publicamente conhecidas. As correções para as vulnerabilidades desconhecidas serão publicadas de acordo com o cronograma pré-definido. É certo que esta alteração simplificará o processo de instalação de atualizações de segurança, principalmente em grandes redes non-stop com centanas (possivelmente milhares) de equipamentos, onde o planejamento é certamente mais complicado. Afinal de contas, todos os equipamentos estão com as últimas correções, não? :-)

Veja também:

  • Anúncio sobre as atualizações de segurança do Cisco IOS.
  • Política de divulgação de vulnerabilidades de segurança para outros produtos Cisco.

Nenhum comentário: