Opensource patch voor Windows XP TCP-lek?
Microsoft liet vorige week weten dat het geen patch voor het TCP-lek in Windows XP zal uitbrengen, daarom vragen sommige gebruikers of niemand anders een update wil ontwikkelen. "Ik vraag me af er geen brave borsten zijn die al aan een opensource patch voor dit probleem binnen XP werken of dit willen", zegt Aras "Russ" Memisyazici, systeembeheerder aan de Virginia Tech Universiteit.
Microsoft liet weten het "sockstress-lek" niet te zullen dichten, omdat het besturingssysteem standaard geen listening service in de client firewall heeft ingesteld, en daardoor niet kwetsbaar is. Verder zou de kwetsbaarheid alleen maar voor een denial of service zorgen waar het systeem zelf van herstelt en beschikt XP over een firewall die de computer tegen inkomend verkeer beschermt. Daarnaast zou het teveel werk zijn om de patch voor Windows XP te laten werken. "Wie weet hoeveel applicaties stuk gaan die voor XP ontworpen zijn als ze radicaal de TCP/IP stack veranderen", laat Eric Lukens weten, IT Security Policy en Risk Assessment analist aan de Universiteit van Noord Iowa.
Tijdbom
Toch lijkt de softwaregigant met het niet patchen van de kwetsbaarheid tegen de eigen levenscyclus in te gaan, want officieel wordt Windows XP tot april 2014 van updates voorzien. Volgens Susan Bradley is het niet dat Microsoft het besturingssysteem niet ondersteunt, maar dat het de gevolgen van een Denial of Service laag inschat, de mogelijkheid tot patchen onmogelijk/moeilijk acht en vervolgens een risicoberekening maakt, waarbij de uitkomt geen patch is. "Soms is de architectuur wat die is."
Op de Full-Disclosure mailinglist is inmiddels een discussie over het lek, de omschrijving en eventuele patch gaande. De consensus is dat de omschrijving die Microsoft hanteert niet erg duidelijk is en bijdraagt aan de verwarring. "Het lijkt erop dat de marketing afdeling het bulletin onder handen heeft genomen." Wat betreft het patchen vindt James Lay dat het probleem niet genegeerd mag worden. "Remote code of DoS, het is nog steeds een tijdbom. PCI DSS eist dat dit soort dingen worden gepatcht of verholpen als die in een omgeving met data van kaarthouders wordt geplaatst. Het niet patchen betekent extra werk voor bedrijven die creditcards verwerken en XP draaien."
u koopt maar een ander OS, en mischien dat we DIE ooit eens patchen,of niet..
CC's verwerken op een XP server?? :-~
http://www.debian.org/ ;-)
u koopt maar een ander OS, en mischien dat we DIE ooit eens patchen,of niet..
Ik snap best dat Microsoft geen zin heeft om de netwerkarchitectuur van Windows XP volledig overhoop te halen, zeker niet als het een platform betreft dat ze graag morgen dood hebben. Maar het is wel een beetje een middelvinger naar iedereen die nu nog XP draait en dat van plan is de komende jaren te blijven doen.
Maar niemand schijnt daar verder problemen mee te hebben dus wat maakt het uit.....
http://www.debian.org/ ;-)
Hier (http://crazzy.se/2009/sockstress) vermeldt iemand dat z'n Debian systeem (met 2.4 kernel) flink onderuit ging door een aangepaste Sockstress aanval.
Zie ook deze Slashdot discussie (http://it.slashdot.org/comments.pl?sid=1361585&cid=29361367) waarbij iemand eerst roept dat dit allang gepatched is in Debian maar dat op het laatst toch moet intrekken.
De patch die Microsoft binnen MS09-048 voor CVE-2008-4609 aka Sockstress heeft uitgebracht voor W2K3, Vista en hoger, bestaat uit (aldus http://www.microsoft.com/technet/security/Bulletin/ms09-048.mspx)
PS: heeft iemand een idee waarom RedHat het in die advisory over ARP-poisoning heeft? Begrijpen zij wel waar het over gaat, of snap ik niks van Sockstress? Zie http://en.wikipedia.org/wiki/Sockstress
Eigenlijk kan je het hele probleem al oplossen. Kies je favoriete emulator (virtualbox, vmware, xen) en stop er bsd of linux in. Vervolgens configureer je een bridge interface (zonder dat je het host OS een ip geeft, dus geen vinkje bij tcp/ip) en laat je host alleen online via een host2host interface tussen je virtuele machine en je host.
<lan/wan/internet> - <bridge nic> - <virtual machine> - <host2host nic> - <windows>
Let wel op dat een virtuele nic veel cpu cycles vraagt. (100mbit kan 1~2 Ghz van je host vragen).
debian.org? O ja een hele grote 5 DVD's (of 31 CD's)
Nee kies gewoon voor OpenSuSE 1 DVD niet moeilijk doen installeren en klaar. ;)
Iedere keer als een Linux distro genoemd wordt eindigt dit in een "dick measuring contest".
Het grote voordeel is dat ELKE distro in een keer gefixed wordt, daar zorgen Linus met zijn kammeraden wel voor!
Wij hoeven het systeem alleen te updaten!
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.