image

Kwetsbaarheid in Linux-kernel kan lokale aanvaller rootrechten geven

woensdag 21 juli 2021, 11:45 door Redactie, 34 reacties

Een kwetsbaarheid in de Linux-kernel maakt het mogelijk voor een ongeprivilegieerde lokale aanvaller om rootrechten te krijgen en zo het systeem volledig over te nemen, meldt securitybedrijf Qualys dat het probleem ontdekte. Het beveiligingslek is aanwezig in alle Linux-kernels die sinds 2014 zijn verschenen, aldus de onderzoekers.

De kwetsbaarheid, aangeduid als CVE-2021-33909 en Sequoia, bevindt zich in de filesystem layer van de Linux-kernel. Door het maken, mounten en verwijderen van een directorystructuur waarvan de padlengte groter is dan 1GB ontstaat er een out-of-bounds write waardoor er volledige rootrechten kunnen worden verkregen. Om de aanval uit te voeren moet een aanvaller al toegang tot het systeem hebben.

De aanval is getest op standaard installaties van Ubuntu 20.04, Ubuntu 20.10, Ubuntu 21.04, Debian 11 en Fedora 34 Workstation. "Andere Linux-distributies zijn zeker kwetsbaar en waarschijnlijk te exploiteren", zo laten de onderzoekers weten. Qualys waarschuwde Red Hat op 9 juni van dit jaar. Gisteren zijn er voor de meeste Linux-distributies beveiligingsupdates verschenen. In onderstaande video wordt de kwetsbaarheid gedemonstreerd.

Image

Reacties (34)
21-07-2021, 11:48 door Anoniem
Er zijn inderdaad updates verschenen voor Linux Ubuntu. Zie ook onder het kopje "Details".
https://ubuntu.com/security/notices/USN-5018-1
21-07-2021, 12:00 door Anoniem
@redactie.

Welke updates precies?
Worden daar de vrijgegeven kernels op 20-07-2021 mee bedoelt?
www.kernel.org
21-07-2021, 12:11 door Anoniem
Door Anoniem: Er zijn inderdaad updates verschenen voor Linux Ubuntu. Zie ook onder het kopje "Details".
https://ubuntu.com/security/notices/USN-5018-1

Dit probleem werd onder Debian gisteren opgelost:

The Qualys Research Labs discovered a size_t-to-int conversion vulnerability in the Linux kernel's filesystem layer. An unprivileged local attacker able to create, mount, and then delete a deep directory structure whose total path length exceeds 1GB, can take advantage of this flaw for privilege escalation.

https://www.debian.org/security/2021/dsa-4941
21-07-2021, 12:20 door [Account Verwijderd] - Bijgewerkt: 21-07-2021, 12:24
Gisteren zijn er voor de meeste Linux-distributies beveiligingsupdates verschenen.

Fixed; done.

Zie ook: https://www.security.nl/posting/713154#posting713160 en https://www.security.nl/posting/713154#posting713204
21-07-2021, 14:14 door Anoniem
https://madaidans-insecurities.github.io/security-privacy-advice.html
21-07-2021, 14:45 door Anoniem
Door Toje Fos:
Gisteren zijn er voor de meeste Linux-distributies beveiligingsupdates verschenen.

Fixed; done.

Als je er zo gemakkelijk over praat ben je m.i. niet gerechtigd om andere systemen de maat te nemen.
21-07-2021, 15:24 door Power2All
Vraag ik me ook af.
OS X draait ook op een Unix variant.
Kan het zijn dat deze de bug wellicht ook bevat ?
Is dat uberhaupt getest ?
21-07-2021, 15:25 door Anoniem
Echt heel erg goed dat snel gepatched wordt, echter "Het beveiligingslek is aanwezig in alle Linux-kernels die sinds 2014 zijn verschenen, aldus de onderzoekers."

Dus al 7 jaar kon je hier al misbruik van maken... daar hoor ik nu niemand over...

Kijkend naar de tijdlijn, duurde het toch wel een maand om tot een fix te komen.

2021-06-09: The Qualys Research Team (QRT) sent advisories for CVE-2021-33909 and CVE-2021-33910 to Red Hat Product Security (the two vulnerabilities are closely related, and the systemd-security mailing list is hosted by Red Hat).
2021-07-06: QRT sent advisories, and Red Hat sent the patches they wrote, to the linux-distros@openwall mailing list.
2021-07-13: QRT sent advisory for CVE-2021-33909, and Red Hat sent the patch they wrote, to the security@kernel mailing list.
2021-07-20: Coordinated Release Date (12:00 PM UTC).

Tevens "Andere Linux-distributies zijn zeker kwetsbaar en waarschijnlijk te exploiteren"...
Hopend dat alle distributies met oplossingen komen, niet alleen de bekende...
21-07-2021, 15:28 door DLans
Door Toje Fos:
Gisteren zijn er voor de meeste Linux-distributies beveiligingsupdates verschenen.

Fixed; done.

Zie ook: https://www.security.nl/posting/713154#posting713160 en https://www.security.nl/posting/713154#posting713204


Wat ben je eigenlijk ook een naar figuur zeg. Op elke mogelijke post moet je perse Windows bashen. Jammer voor jou heeft Windows nou eenmaal een plek in de wereld en dat gaat niet (op korte termijn) veranderen.

Vanwege mijn werk kom ik in aanraking met zowel Linux (RHEL) en Windows systemen. Ik bash geen van twee en het is triest dat jij dit wel altijd doet.
21-07-2021, 15:38 door Anoniem
Door Anoniem: @redactie.

Welke updates precies?
Worden daar de vrijgegeven kernels op 20-07-2021 mee bedoelt?
www.kernel.org

Als je thuis met een goed bekende grafische Linux desktop werkt, bijvoorbeeld Ubuntu of Mint, dan verloopt het bijwerken zoals gebruikelijk volautomatisch, zodra de nieuwe Linux kernel, of ander nieuw pakket, in de zogeheten 'repository' (bewaarplaats) van de door jou gekozen Linux distributie klaar staat. Afhankelijk van welke Linux distributie je gebruikt, krijg vroeg je of laat de mededeling op je scherm staan dat het systeem moet worden bijgewerkt. Dat wijst zich vanzelf. Het kan ook handmatig worden gestart: Onder GNOME > Instellingen > Details > Info > "Zoeken naar Updates"
21-07-2021, 15:42 door Power2All - Bijgewerkt: 21-07-2021, 16:07
Door DLans:
Door Toje Fos:
Gisteren zijn er voor de meeste Linux-distributies beveiligingsupdates verschenen.

Fixed; done.

Zie ook: https://www.security.nl/posting/713154#posting713160 en https://www.security.nl/posting/713154#posting713204


Wat ben je eigenlijk ook een naar figuur zeg. Op elke mogelijke post moet je perse Windows bashen. Jammer voor jou heeft Windows nou eenmaal een plek in de wereld en dat gaat niet (op korte termijn) veranderen.

Vanwege mijn werk kom ik in aanraking met zowel Linux (RHEL) en Windows systemen. Ik bash geen van twee en het is triest dat jij dit wel altijd doet.

Mja, enkel, SSH kun je wel redelijk veilig open hebben staan voor publiek.
RDP daar-in-tegen, is vragen om problemen.
Dat maakt Linux dan toch stukken beter en veiliger.
Maar goed, ik heb ook 1 Windows server draaien, RDP gesloten, enkel accessible met de interne VPN server (SoftEther), maar ben het langzaam aan het uitfaseren, alles draait nu op Linux, inclusief LDAP server en alles. Windows vreet gewoon veel resources zonder enige goede reden.

Ben tevens een grote Docker fanboy, en alles draait in een ge-automatiseerde situatie met Traefik in een swarm.
Dit kun je in Windows ook doen hoor, maar Linux geeft je veel, veel meer vrijheid als het komt op de TCP en UDP stack configureren voor high-traffic, in combinatie met Alpine en Proxmox (Debian).
21-07-2021, 16:13 door Anoniem
Door Anoniem:
Dus al 7 jaar kon je hier al misbruik van maken... daar hoor ik nu niemand over...
.

Bitdefender lek in Windows stond 12 jaar open, BEKEND bij Microsoft.
Dus dit 7 jaar onbekend en binnen 1 maand een WERKENDE patch (is bij Microsoft ook altijd maar de vraag OF het fixt en OF het niet meer stuk maakt dan een hacker zou kunnen doen) vind ik ergens wel knap, zeker op kernel level, niet een printer bug ofzo.
21-07-2021, 16:18 door Anoniem
Daar gaat het breed uitgedragen voordeel van Linux. Het probleem zit er al 7 jaar in en NU wordt het pas ontdekt. Dus dat alles opensource is en door iedereen gecontroleerd kan worden heeft hier niet geholpen, zelfs de grote Linus heeft het nooit ontdekt. Nu wordt alles weer met de mantel der liefde bedekt, want het Linux , dat is zoooo betrouwbaar.
Nu maar weer flink Windows bashen, dan is de aandacht weer afgeleid!
21-07-2021, 17:23 door Anoniem
Door Toje Fos:
Gisteren zijn er voor de meeste Linux-distributies beveiligingsupdates verschenen.
Fixed; done.
Tsja, thuis geen probleem. Grotere organisatie zullen dit toch serieus moeten inplannen.
21-07-2021, 17:47 door Anoniem
hierzo dan een grotere organisatie. Met RHEL doen we yum update elke nacht. Fix is binnen, all is well...

het is maar wat je gewend bent hoor, het kan best anders allemaal, maar dan moet je wel eens durven te kijken naar de alternatieven manieren van doen! het zou niet de eerste OTAP straat zijn die voor RHEL updates er achter gaat komen dat die O en T en A eigenlijk in de praktijk voor niets de zaak vertragen :).

maar laat mij je niet overtuigen, meet en test en ervaar vooral zelf!
21-07-2021, 18:04 door [Account Verwijderd]
12 juli jl. kreeg ik een nieuwe Kernel (systeemkern) aangeboden via bijwerkbeheer en vandaag weer een.
Die laatste zal wel de gepatchte versie zijn vermoed ik. (4.15.0-151) Mint versie 19.1
21-07-2021, 21:57 door Anoniem
Door Anoniem: Daar gaat het breed uitgedragen voordeel van Linux. Het probleem zit er al 7 jaar in en NU wordt het pas ontdekt. Dus dat alles opensource is en door iedereen gecontroleerd kan worden heeft hier niet geholpen, zelfs de grote Linus heeft het nooit ontdekt. Nu wordt alles weer met de mantel der liefde bedekt, want het Linux , dat is zoooo betrouwbaar.
Nu maar weer flink Windows bashen, dan is de aandacht weer afgeleid!
Geen idee of het nu pas ontdekt is. De cybercriminelen gaan het echt niet aan de grote klok hangen als ze een 'foutje' in een OS vinden. Die gaan het gewoon exploiteren totdat het 'foutje' door iemand anders ontdekt wordt. (Bij Linux de Open Source Community en bij Windows Bill Gates)
21-07-2021, 23:38 door [Account Verwijderd]
Door Anoniem:
Door Toje Fos:
Gisteren zijn er voor de meeste Linux-distributies beveiligingsupdates verschenen.

Fixed; done.

Als je er zo gemakkelijk over praat ben je m.i. niet gerechtigd om andere systemen de maat te nemen.

Jamaar, het gaat gewoon echt zo gemakkelijk...
22-07-2021, 08:48 door [Account Verwijderd] - Bijgewerkt: 22-07-2021, 09:07
Door Anoniem: Daar gaat het breed uitgedragen voordeel van Linux. Het probleem zit er al 7 jaar in en NU wordt het pas ontdekt. Dus dat alles opensource is en door iedereen gecontroleerd kan worden heeft hier niet geholpen, zelfs de grote Linus heeft het nooit ontdekt. Nu wordt alles weer met de mantel der liefde bedekt, want het Linux , dat is zoooo betrouwbaar.

Dit is niet de eerste keer dat je met dit non-argument komt. Jouw beeld bij de voordelen van open source is blijkbaar dat iedereen continu door die al open broncode loopt, op zoek naar problemen. Wat een naïeve en kinderlijke gedachte.

Nee, voordelen van open source zitten 'm in het voor iedereen inzichtelijk zijn van broncodes en het versiebeheer daarop, waardoor de historie van alle wijzigingen ook inzichtelijk wordt en oude versies gemakkelijk kunnen worden teruggehaald en bekeken. Je kan dus exact vaststellen wat er onder de motorkap gebeurt én is gebeurd, waardoor je nooit afhankelijk zal worden van één leverancier. Dit in tegenstelling tot closed source software, zoals Microsoft Windows, waarbij de fabrikant er ongestraft een zootje van kan maken en er god weet wat voor 'telemetrie' aan kan toevoegen. Want er kraait toch geen haan naar, omdat niemand kan zien wat ze nou precies uitvreten.

Door Anoniem: Nu maar weer flink Windows bashen, dan is de aandacht weer afgeleid!

Oh, je denkt dat als niemand kritiek op Windows heeft dat het dan allemaal goed is? Nee, Windows krijgt zoveel negatieve publiciteit omdat er keer op keer op keer allerlei problemen mee zijn. Het is gewoon overduidelijke bagger! Een spaghetticodebouwwerk dat Microsoft ongekend veel geld aan het kosten is qua onderhoud en waar ze liefst zo snel mogelijk de stekker uit zouden willen trekken.
22-07-2021, 09:12 door Anoniem
Door Anoniem: Echt heel erg goed dat snel gepatched wordt, echter "Het beveiligingslek is aanwezig in alle Linux-kernels die sinds 2014 zijn verschenen, aldus de onderzoekers."

Dus al 7 jaar kon je hier al misbruik van maken... daar hoor ik nu niemand over...

Kijkend naar de tijdlijn, duurde het toch wel een maand om tot een fix te komen.

2021-06-09: The Qualys Research Team (QRT) sent advisories for CVE-2021-33909 and CVE-2021-33910 to Red Hat Product Security (the two vulnerabilities are closely related, and the systemd-security mailing list is hosted by Red Hat).
2021-07-06: QRT sent advisories, and Red Hat sent the patches they wrote, to the linux-distros@openwall mailing list.
2021-07-13: QRT sent advisory for CVE-2021-33909, and Red Hat sent the patch they wrote, to the security@kernel mailing list.
2021-07-20: Coordinated Release Date (12:00 PM UTC).

Tevens "Andere Linux-distributies zijn zeker kwetsbaar en waarschijnlijk te exploiteren"...
Hopend dat alle distributies met oplossingen komen, niet alleen de bekende...

Ik gebruik er 2, Fedora en Ubuntu.

Fedora heeft vanmorgen vroeg de update live gezet https://bugzilla.redhat.com/show_bug.cgi?id=1984019
Ubuntu was een stuk sneller, die heeft 20-7 de patch al vrijgegeven
22-07-2021, 11:45 door Anoniem
[Sarcasm mode on]
Daarom gebruik ik Windows. Is veel veiliger.
[Sarcasm mode off]

Met andere woorden, laten we eens en voor altijd stoppen met die flame-wars. Elk platform heeft vulnerabilities. Leer ermee leven, en zorg voor je updates als die er zijn.
22-07-2021, 12:46 door Anoniem
Door Toje Fos: Oh, je denkt dat als niemand kritiek op Windows heeft dat het dan allemaal goed is? Nee, Windows krijgt zoveel negatieve publiciteit omdat er keer op keer op keer allerlei problemen mee zijn. Het is gewoon overduidelijke bagger! Een spaghetticodebouwwerk dat Microsoft ongekend veel geld aan het kosten is qua onderhoud en waar ze liefst zo snel mogelijk de stekker uit zouden willen trekken.
Je zou ook die negatieve publiciteit voor zich kunnen laten spreken in plaats van er elke keer op aan te slaan.
22-07-2021, 14:38 door Anoniem
Door Toje Fos:
Door Anoniem: Daar gaat het breed uitgedragen voordeel van Linux. Het probleem zit er al 7 jaar in en NU wordt het pas ontdekt. Dus dat alles opensource is en door iedereen gecontroleerd kan worden heeft hier niet geholpen, zelfs de grote Linus heeft het nooit ontdekt. Nu wordt alles weer met de mantel der liefde bedekt, want het Linux , dat is zoooo betrouwbaar.

Dit is niet de eerste keer dat je met dit non-argument komt. Jouw beeld bij de voordelen van open source is blijkbaar dat iedereen continu door die al open broncode loopt, op zoek naar problemen. Wat een naïeve en kinderlijke gedachte.

Nee, voordelen van open source zitten 'm in het voor iedereen inzichtelijk zijn van broncodes en het versiebeheer daarop, waardoor de historie van alle wijzigingen ook inzichtelijk wordt en oude versies gemakkelijk kunnen worden teruggehaald en bekeken. Je kan dus exact vaststellen wat er onder de motorkap gebeurt én is gebeurd, waardoor je nooit afhankelijk zal worden van één leverancier. Dit in tegenstelling tot closed source software, zoals Microsoft Windows, waarbij de fabrikant er ongestraft een zootje van kan maken en er god weet wat voor 'telemetrie' aan kan toevoegen. Want er kraait toch geen haan naar, omdat niemand kan zien wat ze nou precies uitvreten.

Door Anoniem: Nu maar weer flink Windows bashen, dan is de aandacht weer afgeleid!

Oh, je denkt dat als niemand kritiek op Windows heeft dat het dan allemaal goed is? Nee, Windows krijgt zoveel negatieve publiciteit omdat er keer op keer op keer allerlei problemen mee zijn. Het is gewoon overduidelijke bagger! Een spaghetticodebouwwerk dat Microsoft ongekend veel geld aan het kosten is qua onderhoud en waar ze liefst zo snel mogelijk de stekker uit zouden willen trekken.
Je bewijst precies mijn punt, afleiden die aandacht.
22-07-2021, 15:11 door [Account Verwijderd]
Door Anoniem:
Door Toje Fos: ...
Je bewijst precies mijn punt, afleiden die aandacht.

Je bent niet het scherpste potlood uit de doos, niet?

P.S. Heb je het nieuwste bericht over een Microsoft Windows probleem al gezien? De eerste van vandaag geloof ik, dus het valt nog best mee hoor. Maak je dus geen zorgen.
22-07-2021, 19:31 door Anoniem
Door Anoniem: Daar gaat het breed uitgedragen voordeel van Linux. Het probleem zit er al 7 jaar in en NU wordt het pas ontdekt. Dus dat alles opensource is en door iedereen gecontroleerd kan worden heeft hier niet geholpen, zelfs de grote Linus heeft het nooit ontdekt. Nu wordt alles weer met de mantel der liefde bedekt, want het Linux , dat is zoooo betrouwbaar.
Nu maar weer flink Windows bashen, dan is de aandacht weer afgeleid!
Blijkbaar was ontdekking toch moeilijk. Heeft ook niet geleid tot ransomware incidenten. Wie verzint er ook een pad van > 1GB!
Snel gefixt en daar gaat het om. Bravo.
22-07-2021, 22:11 door Anoniem
Door Anoniem:
Door Anoniem: Daar gaat het breed uitgedragen voordeel van Linux. Het probleem zit er al 7 jaar in en NU wordt het pas ontdekt. Dus dat alles opensource is en door iedereen gecontroleerd kan worden heeft hier niet geholpen, zelfs de grote Linus heeft het nooit ontdekt. Nu wordt alles weer met de mantel der liefde bedekt, want het Linux , dat is zoooo betrouwbaar.
Nu maar weer flink Windows bashen, dan is de aandacht weer afgeleid!
Blijkbaar was ontdekking toch moeilijk. Heeft ook niet geleid tot ransomware incidenten.
Hoe weet jij dat? Trouwens ransomware is niet boeiend. Ransomware is nogal platvloers. Veel ernstiger is spyware of vergelijkbare software (soms van Israelisch fabrikaat)
23-07-2021, 10:03 door Anoniem
Door Toje Fos:
Door Anoniem:
Door Toje Fos: ...
Je bewijst precies mijn punt, afleiden die aandacht.

Je bent niet het scherpste potlood uit de doos, niet?

P.S. Heb je het nieuwste bericht over een Microsoft Windows probleem al gezien? De eerste van vandaag geloof ik, dus het valt nog best mee hoor. Maak je dus geen zorgen.
Heb JIJ gezien, dat dit artikel over Linux gaat. Het bashen over Windows is alleen maar afleiding om maar niet geconfronteerd te worden met Linux fouten!
23-07-2021, 11:36 door Anoniem
Door Anoniem:
Door Toje Fos:
Door Anoniem:
Door Toje Fos: ...
Je bewijst precies mijn punt, afleiden die aandacht.

Je bent niet het scherpste potlood uit de doos, niet?

P.S. Heb je het nieuwste bericht over een Microsoft Windows probleem al gezien? De eerste van vandaag geloof ik, dus het valt nog best mee hoor. Maak je dus geen zorgen.
Heb JIJ gezien, dat dit artikel over Linux gaat. Het bashen over Windows is alleen maar afleiding om maar niet geconfronteerd te worden met Linux fouten!

psst hou het zuiver... mr / mvr Toje Fos eerste post waarop het door anderen weer losbarste was "Fixed; done." en de reactie daarop was "Als je er zo gemakkelijk over praat ben je m.i. niet gerechtigd om andere systemen de maat te nemen."
23-07-2021, 11:38 door Anoniem
Door Anoniem:
Door Anoniem: Daar gaat het breed uitgedragen voordeel van Linux. Het probleem zit er al 7 jaar in en NU wordt het pas ontdekt. Dus dat alles opensource is en door iedereen gecontroleerd kan worden heeft hier niet geholpen, zelfs de grote Linus heeft het nooit ontdekt. Nu wordt alles weer met de mantel der liefde bedekt, want het Linux , dat is zoooo betrouwbaar.
Nu maar weer flink Windows bashen, dan is de aandacht weer afgeleid!
Geen idee of het nu pas ontdekt is. De cybercriminelen gaan het echt niet aan de grote klok hangen als ze een 'foutje' in een OS vinden. Die gaan het gewoon exploiteren totdat het 'foutje' door iemand anders ontdekt wordt. (Bij Linux de Open Source Community en bij Windows Bill Gates)
Dat verschijnt dan vanzelf in het nieuws door versleutelde bedrijven en dat is nu dus niet zo.
23-07-2021, 14:15 door Anoniem
Door Anoniem:
Door Toje Fos:
Door Anoniem:
Door Toje Fos: ...
Je bewijst precies mijn punt, afleiden die aandacht.

Je bent niet het scherpste potlood uit de doos, niet?

P.S. Heb je het nieuwste bericht over een Microsoft Windows probleem al gezien? De eerste van vandaag geloof ik, dus het valt nog best mee hoor. Maak je dus geen zorgen.
Heb JIJ gezien, dat dit artikel over Linux gaat. Het bashen over Windows is alleen maar afleiding om maar niet geconfronteerd te worden met Linux fouten!
Hij zei "Fixed; done" Dan is er toch geen afleiding meer nodig?
23-07-2021, 22:04 door [Account Verwijderd]
Door Anoniem:
Door Anoniem:
Door Toje Fos:
Door Anoniem:
Door Toje Fos: ...
Je bewijst precies mijn punt, afleiden die aandacht.

Je bent niet het scherpste potlood uit de doos, niet?

P.S. Heb je het nieuwste bericht over een Microsoft Windows probleem al gezien? De eerste van vandaag geloof ik, dus het valt nog best mee hoor. Maak je dus geen zorgen.
Heb JIJ gezien, dat dit artikel over Linux gaat. Het bashen over Windows is alleen maar afleiding om maar niet geconfronteerd te worden met Linux fouten!
Hij zei "Fixed; done" Dan is er toch geen afleiding meer nodig?

Jij! en jullie! en hullie! en gullie! Bèh! Boe Bah!

Oh oh het was me weer wat hoor. Het peuterspeelkwartier liep de voorgaande en aflopende dag weer eens uit de hand. Och, och wat een gedoe toch altijd met die 'groeistuipers' Het valt ook niet mee om peuter te zijn tussen al die nuchtere IT-mensen, die dit als Apple-Linux-Microsoft business as usual zien.

En dan nog het nadrenzen: (Bèh Bah) luiers vol met Microsoft en Linux zijn ook niet lekker om mee te lopen voor dat klein grut op die korte beentjes!

Gelukkig hoefden nu de kleuterleidsters van security.nl niet in te grijpen door her en der het gekrijs en het geduw en getrek over en weer te smoren.

Dat viel dan weer mee ;-)
23-07-2021, 22:12 door Anoniem
Het principe van de software kwetsbaarheid (ook wel in indirecte zin "hack" genoemd)
komt voort uit het onderzoeken of men software iets kan laten doen,
waar men in eerste aanleg geen rekening mee gehouden heeft (out of scope).

Het kan met elke soort software onder bepaalde condities of het kan niet zonder bepaalde specifieke conditie of reeks condities (voorwaarden).

De "out of the box"denker of degene, die naar analogie van eerdere gevonden kwetsbaarheden en patronen van/voor kwetsbaarheden deze nieuwe kwetsbaarheden weet te ontdekken, kan dit delen of "erop blijven zitten" of proberen ten gelde te maken. (gelet op welke hoed men wenst te dragen: wit, grijs, zwart).

Met gesloten software gaat dit alles wat moeilijker (maar is niet onmogelijker) dan met open software.
Feit blijft, dat men er ook heel lang "overheen" kan kijken, zoals in het onderhaving geval. (7 jaar).
Fuzzen en trial and error en linten brengt ook veel aan het licht.

Beveiligingsopties zijn beperkt en niet altijd zo eensluidend als de oplossing van de script blocker,
die werkt namelijk altijd en overal tegen bekende en zelfs nog niet gevonden script-kwetsbaarheden.
Wat niet af kan lopen, kan niet aflopen. Simpel en duidelijk.

Als een proces langer neemt dan verwacht, is dat een reden om het verder onder de loep te nemen.
Maar men moet ook divergeren naar specialismen.
Dus op javascript een javascipt test-expert, op php een ander enz.
Alles overzien kan tegenwoordig niet meer, dus front-end en back-end specialisten zijn steeds nodig.
Good hunt.

luntrus
26-07-2021, 08:57 door [Account Verwijderd]
Door Anoniem:
Door Anoniem: ...

psst hou het zuiver... mr / mvr Toje Fos eerste post waarop het door anderen weer losbarste was "Fixed; done." en de reactie daarop was "Als je er zo gemakkelijk over praat ben je m.i. niet gerechtigd om andere systemen de maat te nemen."

Inderdaad, dat is precies waardoor ik werd getriggerd en misschien eventjes te ver doodschoot.
19-09-2021, 08:54 door Krakatau
Door Toje Fos:
Door Anoniem:
Door Toje Fos:
Gisteren zijn er voor de meeste Linux-distributies beveiligingsupdates verschenen.

Fixed; done.

Als je er zo gemakkelijk over praat ben je m.i. niet gerechtigd om andere systemen de maat te nemen.

Jamaar, het gaat gewoon echt zo gemakkelijk...

Bij bv. NixOS zeker. Bij een reguliere Linux distributie kan je toch soms dependencyproblemen krijgen als je nieuwere versies van software nodig hebt. Maar dat is een zijstraat.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.