Super-patchdinsdag dicht 87 lekken
Overwerk voor systeembeheerders vandaag, want naast Microsoft hebben ook Adobe en Oracle een buslading patches uitgebracht. Microsoft verhelpt via 11 Security Bulletins 25 beveiligingslekken in Exchange en Windows, waaronder twee zero-day lekken die al geruime tijd bekend zijn. Vijf van de Security Bulletins zijn als "critical" beoordeeld, vijf zijn "important" en de laatste is "moderate". Voor zeven van de beveiligingsupdates verwacht Microsoft dat hackers binnen een maand een exploit klaar hebben staan. Veel van de lekken zijn namelijk ideaal voor drive-by download aanvallen. Systeembeheerders moeten volgens Microsoft vooral aandacht schenken aan MS10-019, MS10-026 en MS10-027.
MS10-019 heeft betrekking op alle Windows versies en laat aanvallers digitaal gesigneerde uitvoerbare content, zoals PE en CAB bestanden wijzigen, zonder dat de handtekening ongeldig wordt. MS10-026 laat aanvallers een speciaal geprepareerde AVI op websites verstoppen, die vervolgens een buffer overflow op Windows XP, 2000, Server 2003 en Server 2008 veroorzaakt, waardoor het systeem kan worden overgenomen. MS10-027 is alleen een probleem voor Windows 2000 en XP en laat aanvallers willekeurige code uitvoeren, als de gebruiker een gehackte of kwaadaardige website bezoekt.
Adobe
Ook voor Adobe is het vandaag patchdinsdag. De ontwikkelaar verhelpt in Adobe Reader en Acrobat 15 beveiligingslekken die aanvallers in alle gevallen het systeem laten overnemen. Geen één van de vijftien lekken in Adobe Reader 9.3.1 en eerder werd door Adobe zelf ontdekt. Het was voor deze patchronde geheel afhankelijk van externe onderzoekers. Gebruikers krijgen het advies om te updaten naar Adobe Reader en Acrobat 9.3.2, voor wie nog versie 8.x van de PDF-lezers gebruikt is update 8.2.2 uitgekomen. Zoals verwacht is de /launch aanval van de Belgische onderzoeker Didier Stevens niet opgelost.
Oracle
Naast Adobe en Microsoft doet ook Oracle een duit in het zakje. De databasegigant verhelpt 47 kwetsbaarheden in onder andere Oracle Database, Application Server en E-Business Suite. Een lek in de Sun Ray Server Software kreeg de hoogst mogelijk CVSS 2.0 score van 10. Dat betekent dat aanvallers zonder authenticatie en op vrij eenvoudige wijze toegang tot het systeem kunnen krijgen. De volgende patchdinsdag van Oracle is op 13 juli.
WSUS verdeeld de Windows patches (goedkeuren kostte me wel 1 minuut werk).
Adobe reader update is een msp-bestand waarmee je het msi-bestand kan updaten. Downloaden en patchen kostte me 10 minuten en daarna heb ik het de gebruikers middels een GPO aangeboden. Bij de volgende aanlog wordt het automatisch geïnstalleerd.
Kortom: Om 16u heb ik de deurklink in de hand om naar huis te gaan.
Als na de uitrol geen van de gebruikers meer kan werken wordt het wel wat later dan 16u ;)
otap straten en testen van patches, strikte maintenance window afspraken, hoeveelheid servers....
Moet ik dan alle 150 Pc's in een testomgeving nabootsen, elk met zijn eigen hardware en software configuratie. Ik heb max. 20 pc's die hetzelfde zijn.
Serieus: Test jij alle patches 1 voor 1 uit?
Server Patches moet je testen en dan uitrollen en voor workstations en dergelijke ook testen of bv je eigen software / intranet of weet ik het nog werkt. Alles wat zeg maar custom is.
Plus inderdaad zoals hier boven gezegd word kan het geen kwaad om een paar dagen (weekje) te wachten met uitrollen i.v.m. om te zien of er geen kinderziektes of ander leed in zit. Alleen de kruks zit hem in het feit dat er ook systeembeheerders zijn, die wachten veel te lang met uit rollen, maand tot maanden en ja dan kan het nog wel is mis gaan. (spreek ik uit eigen ervaring).
Moet ik dan alle 150 Pc's in een testomgeving nabootsen, elk met zijn eigen hardware en software configuratie. Ik heb max. 20 pc's die hetzelfde zijn.
Serieus: Test jij alle patches 1 voor 1 uit?
Ik zou toch streven naar meer standaardisatie, want dat is efficienter en goedkoper en zal jou minder uren kosten. Anders zorgen dat de tegenstanders de meerkosten op hun bordje krijgen; dat help ongetwtijfeld.
Moet ik dan alle 150 Pc's in een testomgeving nabootsen, elk met zijn eigen hardware en software configuratie. Ik heb max. 20 pc's die hetzelfde zijn.
Serieus: Test jij alle patches 1 voor 1 uit?
Ik zou toch streven naar meer standaardisatie, want dat is efficienter en goedkoper en zal jou minder uren kosten. Anders zorgen dat de tegenstanders de meerkosten op hun bordje krijgen; dat help ongetwtijfeld.
Als groot bedrijf (> 30.000 werkplekken) testen wij de software in een lab, maar vrijwel alles automatisch. Het maakt mij persoonlijk niet uit of het 1 of 100 patches zijn voor een bepaalde configuratie. Deze kunnen ook allemaal tegelijk worden getest. Alles er iets misgaat, moet je natuurlijk wel uitzoeken welke het is. Maar ik moet zeggen de ondersteuning voor suppliers is bij een groot bedriijf natuurlijk wel makkelijk (24/7 direct support)
Ben vandaag al druk bezig geweest een flink aantal servers te voorzien. De WSUS servers draaiden weer overuren. De clients krijgen in de loop van de week alle updates.
als eerste zijn bij os de front-end machines aan de beurt die het meest of het dicht bij het grote boze internet zitten. Daarna de Back-end. Daarnaast wil je eigenlijk je serverpark zo min mogelijk internet toegang geven. Enkel Mail, Citrix/TS en web.
Niemand kan hier printen vanuit Acrobat Reader 9.3.2. en ik heb de GPO van 9.3.1. maar weer geactiveerd. Moeten ze allemaal een keer opnieuw aanloggen.
Goed beleid hier. Beleid en debiel zijn uit dezelfde letters opgebouwd trouwens.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.