Overheid VS moet GitLab- en Exchange-lekken voor 1 december patchen
Amerikaanse federale overheidsinstanties moeten verschillende actief aangevallen kwetsbaarheden in Exchange, Excel, GitLab en Windows voor 1 december van dit jaar patchen, zo heeft het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security bepaald.
Het CISA gaf begin november een zogenoemde "Binding Operational Directive" af om het risico van actief misbruikte, bekende kwetsbaarheden te verminderen. De overheidsinstantie kwam met een lijst van 291 beveiligingslekken die binnen een bepaalde tijd moeten zijn verholpen. Voor de honderd actief aangevallen kwetsbaarheden die dit jaar zijn gevonden geldt een deadline van twee weken, die gisteren afliep.
In het geval van 176 beveiligingslekken die van voor 2021 dateren krijgen federale overheidsinstanties zes maanden de tijd, en moeten de betreffende beveiligingsupdates uiterlijk op 3 mei 2022 zijn geïnstalleerd. De vijftien resterende lekken hadden al via eerder afgegeven directives moeten zijn gepatcht. De lijst is nu met vier actief aangevallen kwetsbaarheden uitgebreid.
Het gaat om CVE-2021-22204, een kwetsbaarheid in ExifTool waarmee kwetsbare GitLab-installaties worden aangevallen, CVE-2021-40449 (Windows), CVE-2021-42292 (Microsoft Excel) en CVE-2021-42321 (Microsoft Exchange Server). Deze kwetsbaarheden moeten voor 1 december zijn verholpen. Federale overheidsinstanties zijn daarnaast verplicht om hun vorderingen met betrekking tot het uitrollen van de beveiligingsupdates te rapporteren.
Nou, ik wens ze veel sterkte en succes daarmee! Want al is de patch nog zo snel, Windows mal- en ransomware achterhaalt 'm wel. Als ze het ene patchen dan valt het andere om. Typisch voor een spaghetticodebouwwerk.
Die GitLab fix daarentegen is waarschijnlijk triviaal.
Nou, ik wens ze veel sterkte en succes daarmee! Want al is de patch nog zo snel, Windows mal- en ransomware achterhaalt 'm wel. Als ze het ene patchen dan valt het andere om. Typisch voor een spaghetticodebouwwerk.
Die GitLab fix daarentegen is waarschijnlijk triviaal.
Kijk dit is precies waarom het zo vaak mis gaat.
Nee die Gitlab patch is niet triviaal maar net zo belangrijk.
Net als deze https://arstechnica.com/gadgets/2021/11/dan-kaminskys-dns-cache-poisoning-attack-is-back-from-the-dead-again/
Maar de fanatieke Linux aanhangers hebben oogkleppen op.
Het laat weer eens zien hoe competent hij is zullen we maar zeggen.
Nou, ik wens ze veel sterkte en succes daarmee! Want al is de patch nog zo snel, Windows mal- en ransomware achterhaalt 'm wel. Als ze het ene patchen dan valt het andere om. Typisch voor een spaghetticodebouwwerk.
Die GitLab fix daarentegen is waarschijnlijk triviaal.
Kijk dit is precies waarom het zo vaak mis gaat.
Nee die Gitlab patch is niet triviaal maar net zo belangrijk.
Net als deze https://arstechnica.com/gadgets/2021/11/dan-kaminskys-dns-cache-poisoning-attack-is-back-from-the-dead-again/
Maar de fanatieke Linux aanhangers hebben oogkleppen op.
Jammer voor jou poging maar mijn Linux desktop is hier 100% niet vatbaar voor (ik kan niet gepinged worden en ben geen dns service provider). Windows werkplekken lopen wel veel meer gevaar omdat internet sites gespoofed kunnen worden en windows zo vatbaar is voor drive-by download infecties. De meeste DNS servers draaien namelijk Linux (ook met een reden).
Nou, ik wens ze veel sterkte en succes daarmee! Want al is de patch nog zo snel, Windows mal- en ransomware achterhaalt 'm wel. Als ze het ene patchen dan valt het andere om. Typisch voor een spaghetticodebouwwerk.
Die GitLab fix daarentegen is waarschijnlijk triviaal.
Kijk dit is precies waarom het zo vaak mis gaat.
Nee die Gitlab patch is niet triviaal maar net zo belangrijk.
Net als deze https://arstechnica.com/gadgets/2021/11/dan-kaminskys-dns-cache-poisoning-attack-is-back-from-the-dead-again/
Maar de fanatieke Linux aanhangers hebben oogkleppen op.
Jammer voor jou poging maar mijn Linux desktop is hier 100% niet vatbaar voor (ik kan niet gepinged worden en ben geen dns service provider). Windows werkplekken lopen wel veel meer gevaar omdat internet sites gespoofed kunnen worden en windows zo vatbaar is voor drive-by download infecties. De meeste DNS servers draaien namelijk Linux (ook met een reden).
Kun je wel zeggen maar
The researchers tested to see if DNS software was vulnerable when running on either Windows or Free BSD and found no evidence it was. Since macOS uses the FreeBSD network stack, they assume it isn’t vulnerable either.
Misschien is Linux niet de beste keuze ;)
The researchers tested to see if DNS software was vulnerable when running on either Windows or Free BSD and found no evidence it was. Since macOS uses the FreeBSD network stack, they assume it isn’t vulnerable either.
Misschien is Linux niet de beste keuze ;)
"A third is to reject ICMP redirects."
Did is het juiste antwoord. Zoals in de comments ook al staat waarom staat niet boven aan ? Dit is een feature die eigenlijk gewoon uit mag staan. Ik vroeg me altijd af waarom dit standaard aan staat.
Nou, ik wens ze veel sterkte en succes daarmee! Want al is de patch nog zo snel, Windows mal- en ransomware achterhaalt 'm wel. Als ze het ene patchen dan valt het andere om. Typisch voor een spaghetticodebouwwerk.
Die GitLab fix daarentegen is waarschijnlijk triviaal.
Kijk dit is precies waarom het zo vaak mis gaat.
Nee die Gitlab patch is niet triviaal maar net zo belangrijk.
Net als deze https://arstechnica.com/gadgets/2021/11/dan-kaminskys-dns-cache-poisoning-attack-is-back-from-the-dead-again/
Maar de fanatieke Linux aanhangers hebben oogkleppen op.
Jammer voor jou poging maar mijn Linux desktop is hier 100% niet vatbaar voor (ik kan niet gepinged worden en ben geen dns service provider). Windows werkplekken lopen wel veel meer gevaar omdat internet sites gespoofed kunnen worden en windows zo vatbaar is voor drive-by download infecties. De meeste DNS servers draaien namelijk Linux (ook met een reden).
Kun je wel zeggen maar
The researchers tested to see if DNS software was vulnerable when running on either Windows or Free BSD and found no evidence it was. Since macOS uses the FreeBSD network stack, they assume it isn’t vulnerable either.
Misschien is Linux niet de beste keuze ;)
Vertel knul! Wat voor onderbouwing heb je voor dat 'zogenaamd' en 'haha'?
Dat klopt...
Wie zijn 'we'?
Nou, ik wens ze veel sterkte en succes daarmee! Want al is de patch nog zo snel, Windows mal- en ransomware achterhaalt 'm wel. Als ze het ene patchen dan valt het andere om. Typisch voor een spaghetticodebouwwerk.
Die GitLab fix daarentegen is waarschijnlijk triviaal.
Kijk dit is precies waarom het zo vaak mis gaat.
Nee die Gitlab patch is niet triviaal maar net zo belangrijk.
Net als deze https://arstechnica.com/gadgets/2021/11/dan-kaminskys-dns-cache-poisoning-attack-is-back-from-the-dead-again/
Maar de fanatieke Linux aanhangers hebben oogkleppen op.
Alle OS'sen hebben hier last van, je kunt het uit/aan-zetten of afschermen.
Nee Linux is niet heilig en heeft zo nu en dan ook patches en fixes.
Exchange is gewoon gatenkaas, Outlook is gewoon gatenkaas. Teams is gatenkaas. Daarnaast is het bijzonder lucratief om gaten in Exchange en Outlook te vinden voor hackers en phishing wegens de install-base.
MS moet gewoon stoppen met alles op 75% gereed en getest uit te brengen.
Die GitLab fix daarentegen is waarschijnlijk triviaal.
Kijk dit is precies waarom het zo vaak mis gaat.
Nee die Gitlab patch is niet triviaal maar net zo belangrijk.
Ik bedoelde (natuurlijk) triviaal om te maken en installeren. Duh...
Welke passwords in de code? Hoe kom je er in hemelsnaam bij dat GitLab wachtwoorden in hun code zou zetten?
Of bedoel je dat mensen die git gebruiken hun wachtwoorden onder versiebeheer zouden zetten? Als iemand dat doet dan is git wel het minste probleem (tegen dat soort domheid is niets bestand).
Of wil je alle versiebeheer in een kwaad daglicht stellen met jouw rare speculaties? Dan heb je weinig begrepen van professionele softwareontwikkeling! (Dat is geen verrassing).
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.