Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Secunia en handmatig updaten

01-03-2018, 14:52 door flyingmarc, 14 reacties
Ik heb een vraagje over Secunia PSI. Ik gebruik deze om mijn software up to date te houden. Nu geeft Secunia aan dat ik de volgende zaken handmatig moet updaten:

Microsoft.Net.Framework 1.x
Microsoft XML Core Services MSXML 4.x
Openssl 1.x (meegekomen met de installatie van NMAP en Zenmap)

Windows Update geeft niets aan dus vind ik het vreemd dat Secunia zegt dat deze programmas handmatig moeten moerden bijgewerkt. Als ik klik op update wordt ik naar een pagina gestuurd van Microsoft ik installeer dan de juiste versie voor Windows 8.1 PRO X64 en laat Secunia opnieuw scannen zo doe ik dat met alles.

Secunia blijft nog steeds aangeven dat de programma's handmatig moeten worden bijgewerkt. Wat doe ik fout heeft iemand hier ervaring mee.
Reacties (14)
01-03-2018, 15:50 door User2048
Er kunnen meerdere versies van .Net tegelijkertijd geïnstalleerd zijn. Als je een nieuwe versie installeert, blijft de oude staan. Secunia PSI ziet de oude versie er reageert daar op.

Zie https://docs.microsoft.com/en-us/dotnet/framework/migration-guide/versions-and-dependencies voor informatie over dit onderwerp.
01-03-2018, 17:42 door Tha Cleaner
Microsoft.Net.Framework 1.x
Dat is wel heel erg oud. Ik denk eerdere een detectie foutje?

Openssl 1.x (meegekomen met de installatie van NMAP en Zenmap)
Dit komt niet van Microsoft, dus kan ook niet via Windows Update geupdate worden.
01-03-2018, 19:30 door Spiff has left the building - Bijgewerkt: 01-03-2018, 19:33
Door flyingmarc, 14:52 uur:
Ik heb een vraagje over Secunia PSI. Ik gebruik deze om mijn software up to date te houden. Nu geeft Secunia aan dat ik de volgende zaken handmatig moet updaten:

Microsoft.Net.Framework 1.x
Microsoft XML Core Services MSXML 4.x
Openssl 1.x (meegekomen met de installatie van NMAP en Zenmap)

Windows Update geeft niets aan dus vind ik het vreemd dat Secunia zegt dat deze programmas handmatig moeten moerden bijgewerkt. [...]

Microsoft .NET Framework 1.x is een onderdeel van Microsoft .NET Framework 3.5.x en/of van .NET Framework 4.x.
Ik weet niet of het onderdeel is van .NET Framework 3.5.x, of 4.x, of van allebei.

Je ziet het Microsoft .NET Framework 1.x onderdeel van Microsoft .NET Framework 3.5.x en/of van .NET Framework 4.x als onderdeel hier:
C:\Windows\Microsoft.NET\Framework

Microsoft .NET Framework 3.5.x kan ingeschakeld zijn in de "Windows-onderdelen" lijst, "Windows-onderdelen in- of uitschakelen".
Je ziet dat via Configuratiescherm\ Programma's\ Programma's en onderdelen\ Windows-onderdelen in- of uitschakelen.

Microsoft .NET Framework 4.x kan geïnstalleerd zijn.
Je ziet dat in Configuratiescherm\ Programma's\ Programma's en onderdelen.

Microsoft .NET Framework 1.x als onderdeel van Microsoft .NET Framework 3.5.x en/of van .NET Framework 4.x wordt gewoon nog ondersteund.

Als Secunia PSI detecteert dat Microsoft .NET Framework 1.x verouderd is, dan is dat waarschijnlijk een fout in de Secunia PSI database. Hetzelfde is eerder aan de hand geweest voor andere .NET Framework versies. Flexera (de huidige eigenaar van Secunia PSI) is daarmee nogal hardleers.
Ik vermoed dat een foute PSI detectie over enige tijd wel gecorrigeerd zal worden.
Als je wilt kun je zoeken en zo nodig melden op het PSI forum:
https://secuniaresearch.flexerasoftware.com/community/forum/psi/


Wat betreft Microsoft XML Core Services MSXML 4.x, die wordt niet meer ondersteund door Microsoft.
Het verwijderen van MSXML 4 is echter waarschijnlijk niet nodig is en mogelijk zelfs onverstandig. Zie:
https://www.security.nl/posting/396904/MSXML+4+end+of+support


Over OpenSSL 1.x kan ik je niets vertellen.
02-03-2018, 10:13 door Anoniem
Handige tool om .NET versies op pc te checken http://www.majorgeeks.com/files/details/asoft_net_version_detector.html
02-03-2018, 11:47 door Spiff has left the building
Door Spiff, 01-03-2018, 19:30 uur, bijgewerkt 19:33 uur:
[...]
Microsoft .NET Framework 1.x als onderdeel van Microsoft .NET Framework 3.5.x en/of van .NET Framework 4.x wordt gewoon nog ondersteund.

Als Secunia PSI detecteert dat Microsoft .NET Framework 1.x verouderd is, dan is dat waarschijnlijk een fout in de Secunia PSI database. Hetzelfde is eerder aan de hand geweest voor andere .NET Framework versies. Flexera (de huidige eigenaar van Secunia PSI) is daarmee nogal hardleers.
[...]
Hier een voorbeeld van vorig jaar maart, betreffend Flexera Secunia PSI en .NET Framework 2.x:
https://secuniaresearch.flexerasoftware.com/community/forum/thread/show/15863
Dat werd een week later opgelost, zie:
https://secuniaresearch.flexerasoftware.com/community/forum/thread/show/15875

Foutieve beoordelingen door Flexera Secunia PSI worden echter niet 'vanzelf' opgelost.
Daarom, @flyingmarc, als je die detectie door Flexera Secunia PSI van .NET Framework 1.x over een week nog ziet, dan zal het nodig zijn dat je er melding van maakt.

En wat betreft MSXML 4.x, zie wat ik daarover gisteravond schreef.
02-03-2018, 17:26 door Anoniem
Secunia? Ik dacht dat het tegenwoordig Flexera heette.
Is je 'Secunia' nog wel up-to-date?
02-03-2018, 20:40 door Spiff has left the building
Door Anoniem, 17:26 uur:
Secunia? Ik dacht dat het tegenwoordig Flexera heette.
Is je 'Secunia' nog wel up-to-date?
PSI is overgenomen door Flexera, maar er zijn sindsdien geen nieuwe versies van PSI uitgebracht, het geïnstalleerde programma vermeldt daarom nog altijd "Secunia PSI" als productnaam.
03-03-2018, 11:23 door karma4
Door Spiff:
....
Microsoft .NET Framework 1.x is een onderdeel van Microsoft .NET Framework 3.5.x en/of van .NET Framework 4.x.
Ik weet niet of het onderdeel is van .NET Framework 3.5.x, of 4.x, of van allebei.
....
Microsoft .NET Framework 1.x als onderdeel van Microsoft .NET Framework 3.5.x en/of van .NET Framework 4.x wordt gewoon nog ondersteund.
.Net is naast een ontwikkelomgeving ook een runtime omgeving. Het bevat de aan te roepen dynamische calls vanuit wat elders gebouwd is. Het is mogelijk om een verouderde versie bijvoorbeeld de .Net 2.0 op Windows 7 te zetten. Dat is vragen om problemen omdat de versie van OS met wat daar mee komt kuren kan gaan vertonen.
https://support.microsoft.com/en-us/lifecycle/search?alpha=.net%20framework "Support for the .NET Framework components does not imply that support for the hosting Windows operating system is available. Search this site to find the support timelines for your particular Windows operating system."
https://support.microsoft.com/en-us/help/17455/lifecycle-faq-net-framework

Het is een grote uitdaging om de producten van vele leveranciers werkend op een desktop stack te krijgen. Elke leverancier kan zijn eigen eisen aan versies en andere gedeelde componenten stellen.
Deze uitdaging komt met vele onderdelen terug. SSL TLS JAVA browsers terminal emulators. Het is elke keer een feest wanneer je de hele boom in een complexe omgeving doorgaat.

Ergo; Nee beslist niet zo maar mogelijke verkeerde versies uitrollen.
Met win7 was .Net 2 al niet meer acceptabel dus wat doet .Net 1 op win 8?
03-03-2018, 12:46 door Spiff has left the building - Bijgewerkt: 03-03-2018, 12:47
Door karma4, 11:23 uur:

Met win7 was .Net 2 al niet meer acceptabel dus wat doet .Net 1 op win 8?

Zoals ik reeds schreef:
Door Spiff, 01-03-2018, 19:30 uur, bijgewerkt 19:33 uur:

Microsoft .NET Framework 1.x is een onderdeel van Microsoft .NET Framework 3.5.x en/of van .NET Framework 4.x.
Ik weet niet of het onderdeel is van .NET Framework 3.5.x, of 4.x, of van allebei.

Je ziet het Microsoft .NET Framework 1.x onderdeel van Microsoft .NET Framework 3.5.x en/of van .NET Framework 4.x als onderdeel hier:
C:\Windows\Microsoft.NET\Framework

Microsoft .NET Framework 3.5.x kan ingeschakeld zijn in de "Windows-onderdelen" lijst, "Windows-onderdelen in- of uitschakelen".
Je ziet dat via Configuratiescherm\ Programma's\ Programma's en onderdelen\ Windows-onderdelen in- of uitschakelen.

Microsoft .NET Framework 4.x kan geïnstalleerd zijn.
Je ziet dat in Configuratiescherm\ Programma's\ Programma's en onderdelen.


Daaruit volgt:

Is op een systeem Microsoft .NET Framework 3.5.x ingeschakeld in de "Windows-onderdelen" lijst, "Windows-onderdelen in- of uitschakelen" en/of is Microsoft .NET Framework 4.x geïnstalleerd,
kijk dan in C:\Windows\Microsoft.NET\Framework
Goeie kans dat je daar dan .NET Framework 1.x als component ziet.

Is Microsoft .NET Framework 3.5.x wel ingeschakeld in de "Windows-onderdelen" lijst, "Windows-onderdelen in- of uitschakelen", maar is niet Microsoft .NET Framework 4.x geïnstalleerd, of juist net andersom,
en is de .NET Framework 1.x component niet aanwezig in C:\Windows\Microsoft.NET\Framework,
dan is .NET Framework 1.x blijkbaar component van de niet geïnstalleerde .NET Framework versie.
Ik kan dat niet controleren, omdat op mijn Windows 7 systemen zowel Microsoft .NET Framework 3.5.1 is ingeschakeld in de "Windows-onderdelen" lijst, "Windows-onderdelen in- of uitschakelen", als tevens Microsoft .NET Framework 4.7.1 is geïnstalleerd, en ik daardoor niet weet of .NET Framework 1.x in C:\Windows\Microsoft.NET\Framework component is van .NET Framework 3.5.1, of van .NET Framework 4.7.1, of van beide.
 
03-03-2018, 14:40 door karma4
Door Spiff: Microsoft .NET Framework 1.x is een onderdeel van Microsoft .NET Framework 3.5.x en/of van .NET Framework 4.x.
Ik weet niet of het onderdeel is van .NET Framework 3.5.x, of 4.x, of van allebei.
....
Ik kan dat niet controleren, omdat op mijn Windows 7 systemen zowel Microsoft .NET Framework 3.5.1 is ingeschakeld in de "Windows-onderdelen" lijst, "Windows-onderdelen in- of uitschakelen", als tevens Microsoft .NET Framework 4.7.1 is geïnstalleerd, en ik daardoor niet weet of .NET Framework 1.x in C:\Windows\Microsoft.NET\Framework component is van .NET Framework 3.5.1, of van .NET Framework 4.7.1, of van beide.
 [/quote]Ik had je opmerking gezien. Met de ervaring van wat integratieperikelen van grote externe leveranciers heb ik dat ver nagelopen en uitgezocht. Er waren functies .Net 2.0 (XP) die niet meer in terug kwamen in .Net 3.5 (W7). Aangezien er een hele manifest-file met veel andere afhankelijkheden me zijn is het niet mogelijk die externe .Net applicatie om te katten naar een andere .Net versie dat is voor de externe leverancier. Op dat moment liep ik ook tegenaan dat een lokale drive anders is dan een netwerkdrive in het eigen domein, die laatste valt onder "local intranet". Met dat .Net framework moet je de default policies dan aanpassen als je iets over een gedeelde schijf wilt gebruiken. Heerlijk met gesloten desktops waar dat soort policies centraal beheerd worden maar er geen eigenaar voor is. Het lastigere uitrollen van een gevirtualiseerde applicatie brengt weer compleet nieuwe uitdagingen met zich mee. Bijvoorbeeld office integratie of een DBMS connectie.
03-03-2018, 14:43 door Anoniem
Door Spiff:
Door Anoniem, 17:26 uur:
Secunia? Ik dacht dat het tegenwoordig Flexera heette.
Is je 'Secunia' nog wel up-to-date?
PSI is overgenomen door Flexera, maar er zijn sindsdien geen nieuwe versies van PSI uitgebracht, het geïnstalleerde programma vermeldt daarom nog altijd "Secunia PSI" als productnaam.
O, dank je Spiff.

Volgens deze link wordt dotNet framework 1.1 niet ondersteund op Windows 8.1
https://docs.microsoft.com/en-us/dotnet/framework/install/run-net-framework-1-1-apps

Ik heb toch wel goed begrepen dat topicstarter Windows 8.1 (pro 64 bit) draait?
03-03-2018, 15:22 door Spiff has left the building
Door Anoniem, 14:43 uur:

Volgens deze link wordt dotNet framework 1.1 niet ondersteund op Windows 8.1
https://docs.microsoft.com/en-us/dotnet/framework/install/run-net-framework-1-1-apps

Ik heb toch wel goed begrepen dat topicstarter Windows 8.1 (pro 64 bit) draait?

Microsoft .NET Framework Version 1.1 wordt net zo min ondersteund op Windows 7 x64,
maar toch is op mijn Windows 7 x64 systemen met .NET Framework 3.5.1 ingeschakeld, .NET Framework 4.7.1 geïnstalleerd, en met Microsoft Visual C++ 2010 of 2013 geïnstalleerd (Visual C++ had ik eerder niet genoemd, maar ik kan niet uitsluiten dat die een rol kan spelen), wel degelijk een een .NET Framework v1.1.4322 component aanwezig in C:\Windows\Microsoft.NET\Framework.
Ik vermoed sterk dat hetzelfde geldt voor Windows 8.1.
 
03-03-2018, 17:50 door Anoniem
Door Spiff:
Door Anoniem, 14:43 uur:

Volgens deze link wordt dotNet framework 1.1 niet ondersteund op Windows 8.1
https://docs.microsoft.com/en-us/dotnet/framework/install/run-net-framework-1-1-apps

Ik heb toch wel goed begrepen dat topicstarter Windows 8.1 (pro 64 bit) draait?

Microsoft .NET Framework Version 1.1 wordt net zo min ondersteund op Windows 7 x64,
maar toch is op mijn Windows 7 x64 systemen met .NET Framework 3.5.1 ingeschakeld, .NET Framework 4.7.1 geïnstalleerd, en met Microsoft Visual C++ 2010 of 2013 geïnstalleerd (Visual C++ had ik eerder niet genoemd, maar ik kan niet uitsluiten dat die een rol kan spelen), wel degelijk een een .NET Framework v1.1.4322 component aanwezig in C:\Windows\Microsoft.NET\Framework.
Ik vermoed sterk dat hetzelfde geldt voor Windows 8.1.
Nee, nee, niet gaan vermoeden!!! Je was er altijd zo goed in om niet te vermoeden.

https://social.msdn.microsoft.com/Forums/vstudio/en-US/f333eafa-8bd3-4e53-a4e7-22987d17ca4e/how-to-install-the-net-framework-11-on-my-windows81-64bit-laptop:
I could install .NET Framework 1.1 on my Windows7 and Windows 8 (64-bit) laptop, but I cannot install it on my Windows8.1 (64-bit) after I upgraded my laptop from Windows8 to Windows8.1.

Antwoord:
.NET 1.1 is not supported on Windows 8 or 8.1. For details, see: https://msdn.microsoft.com/en-us/library/hh925570(v=vs.110).aspx

It also describes potential workarounds.

Hieruit blijkt dat je minstens dotNet 2.0 nodig hebt omdat deze wel wordt ondersteunt in 8.1.
En als je applicatie geen dotNet 2.0 ondersteunt, wordt geadviseerd de maker van de applicatie te vragen voor een update van de applicatie die wel compatible is met (ten minste) dotNet 2.0.
03-03-2018, 22:02 door Spiff has left the building
Door Spiff, 15:22 uur:
Ik vermoed sterk dat hetzelfde geldt voor Windows 8.1.
Door Anoniem, 17:50 uur:
Nee, nee, niet gaan vermoeden!!! Je was er altijd zo goed in om niet te vermoeden.
Haha, je hebt gelijk, hoor.
Ik vermoedde al dat dat me misschien wel in de kont ging bijten :-)

Betreffend .NET Framework 1.x blijft het zo dat ik het niet over een installatie daarvan had, maar over .NET Framework 1.x als meegeleverde component van een ingeschakelde .NET Framework 3.5.x of een geïnstalleerde .NET Framework 4.x.
Het is jammer dat ik wat ik aangaf voor mijn Windows 7 systemen niet even kan checken op Windows 8.1, die heb ik niet voorhanden. Iemand anders, misschien?

Jammer dat we (vooralsnog?) niks meer hebben gehoord van de topicstarter, flyingmarc.
flyingmarc zou vast wel kunnen vertellen of op het betreffende Windows 8.1 systeem .NET Framework is ingeschakeld in Configuratiescherm\ Programma's\ Programma's en onderdelen\ Windows-onderdelen in- of uitschakelen,
en/of weergegeven is als geïnstalleerd in Configuratiescherm\ Programma's\ Programma's en onderdelen,
en wat de subfolders zijn in C:\Windows\Microsoft.NET\Framework

Zonder die informatie blijft het gissen en vermoeden, en je hebt gelijk, dat moet ik niet doen :-)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.