image

Overheid VS moet GitLab- en Exchange-lekken voor 1 december patchen

donderdag 18 november 2021, 11:13 door Redactie, 14 reacties

Amerikaanse federale overheidsinstanties moeten verschillende actief aangevallen kwetsbaarheden in Exchange, Excel, GitLab en Windows voor 1 december van dit jaar patchen, zo heeft het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security bepaald.

Het CISA gaf begin november een zogenoemde "Binding Operational Directive" af om het risico van actief misbruikte, bekende kwetsbaarheden te verminderen. De overheidsinstantie kwam met een lijst van 291 beveiligingslekken die binnen een bepaalde tijd moeten zijn verholpen. Voor de honderd actief aangevallen kwetsbaarheden die dit jaar zijn gevonden geldt een deadline van twee weken, die gisteren afliep.

In het geval van 176 beveiligingslekken die van voor 2021 dateren krijgen federale overheidsinstanties zes maanden de tijd, en moeten de betreffende beveiligingsupdates uiterlijk op 3 mei 2022 zijn geïnstalleerd. De vijftien resterende lekken hadden al via eerder afgegeven directives moeten zijn gepatcht. De lijst is nu met vier actief aangevallen kwetsbaarheden uitgebreid.

Het gaat om CVE-2021-22204, een kwetsbaarheid in ExifTool waarmee kwetsbare GitLab-installaties worden aangevallen, CVE-2021-40449 (Windows), CVE-2021-42292 (Microsoft Excel) en CVE-2021-42321 (Microsoft Exchange Server). Deze kwetsbaarheden moeten voor 1 december zijn verholpen. Federale overheidsinstanties zijn daarnaast verplicht om hun vorderingen met betrekking tot het uitrollen van de beveiligingsupdates te rapporteren.

Reacties (14)
18-11-2021, 11:20 door [Account Verwijderd] - Bijgewerkt: 18-11-2021, 11:21
Amerikaanse federale overheidsinstanties moeten verschillende actief aangevallen kwetsbaarheden in Exchange, Excel, GitLab en Windows voor 1 december van dit jaar patchen, zo heeft het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security bepaald.

Nou, ik wens ze veel sterkte en succes daarmee! Want al is de patch nog zo snel, Windows mal- en ransomware achterhaalt 'm wel. Als ze het ene patchen dan valt het andere om. Typisch voor een spaghetticodebouwwerk.

Die GitLab fix daarentegen is waarschijnlijk triviaal.
18-11-2021, 11:38 door _R0N_
Door Toje Fos:
Amerikaanse federale overheidsinstanties moeten verschillende actief aangevallen kwetsbaarheden in Exchange, Excel, GitLab en Windows voor 1 december van dit jaar patchen, zo heeft het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security bepaald.

Nou, ik wens ze veel sterkte en succes daarmee! Want al is de patch nog zo snel, Windows mal- en ransomware achterhaalt 'm wel. Als ze het ene patchen dan valt het andere om. Typisch voor een spaghetticodebouwwerk.

Die GitLab fix daarentegen is waarschijnlijk triviaal.

Kijk dit is precies waarom het zo vaak mis gaat.
Nee die Gitlab patch is niet triviaal maar net zo belangrijk.

Net als deze https://arstechnica.com/gadgets/2021/11/dan-kaminskys-dns-cache-poisoning-attack-is-back-from-the-dead-again/
Maar de fanatieke Linux aanhangers hebben oogkleppen op.
18-11-2021, 12:04 door Anoniem
Het is toch bijzonder te noemen dat onze orakel Toje (met zogenaamd een eigen bedrijf, haha) wel altijd precies weet dat Microsoft patchen te relateren zijn aan spaghetticode en dat andere fixes triviaal zijn en Linux noooooooit te maken heeft gehad met een security probleem.

Het laat weer eens zien hoe competent hij is zullen we maar zeggen.
18-11-2021, 12:56 door walmare
Door _R0N_:
Door Toje Fos:
Amerikaanse federale overheidsinstanties moeten verschillende actief aangevallen kwetsbaarheden in Exchange, Excel, GitLab en Windows voor 1 december van dit jaar patchen, zo heeft het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security bepaald.

Nou, ik wens ze veel sterkte en succes daarmee! Want al is de patch nog zo snel, Windows mal- en ransomware achterhaalt 'm wel. Als ze het ene patchen dan valt het andere om. Typisch voor een spaghetticodebouwwerk.

Die GitLab fix daarentegen is waarschijnlijk triviaal.

Kijk dit is precies waarom het zo vaak mis gaat.
Nee die Gitlab patch is niet triviaal maar net zo belangrijk.

Net als deze https://arstechnica.com/gadgets/2021/11/dan-kaminskys-dns-cache-poisoning-attack-is-back-from-the-dead-again/
Maar de fanatieke Linux aanhangers hebben oogkleppen op.
Die gitlab patch is alleen belangrijk als de overheid deze on premise zelf heeft geïnstalleerd. Blijkbaar hebben ze afscheid genomen van Github sinds microsoft eigenaar is geworden?
Jammer voor jou poging maar mijn Linux desktop is hier 100% niet vatbaar voor (ik kan niet gepinged worden en ben geen dns service provider). Windows werkplekken lopen wel veel meer gevaar omdat internet sites gespoofed kunnen worden en windows zo vatbaar is voor drive-by download infecties. De meeste DNS servers draaien namelijk Linux (ook met een reden).
18-11-2021, 14:19 door _R0N_
Door walmare:
Door _R0N_:
Door Toje Fos:
Amerikaanse federale overheidsinstanties moeten verschillende actief aangevallen kwetsbaarheden in Exchange, Excel, GitLab en Windows voor 1 december van dit jaar patchen, zo heeft het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security bepaald.

Nou, ik wens ze veel sterkte en succes daarmee! Want al is de patch nog zo snel, Windows mal- en ransomware achterhaalt 'm wel. Als ze het ene patchen dan valt het andere om. Typisch voor een spaghetticodebouwwerk.

Die GitLab fix daarentegen is waarschijnlijk triviaal.

Kijk dit is precies waarom het zo vaak mis gaat.
Nee die Gitlab patch is niet triviaal maar net zo belangrijk.

Net als deze https://arstechnica.com/gadgets/2021/11/dan-kaminskys-dns-cache-poisoning-attack-is-back-from-the-dead-again/
Maar de fanatieke Linux aanhangers hebben oogkleppen op.
Die gitlab patch is alleen belangrijk als de overheid deze on premise zelf heeft geïnstalleerd. Blijkbaar hebben ze afscheid genomen van Github sinds microsoft eigenaar is geworden?
Jammer voor jou poging maar mijn Linux desktop is hier 100% niet vatbaar voor (ik kan niet gepinged worden en ben geen dns service provider). Windows werkplekken lopen wel veel meer gevaar omdat internet sites gespoofed kunnen worden en windows zo vatbaar is voor drive-by download infecties. De meeste DNS servers draaien namelijk Linux (ook met een reden).

Kun je wel zeggen maar

The researchers tested to see if DNS software was vulnerable when running on either Windows or Free BSD and found no evidence it was. Since macOS uses the FreeBSD network stack, they assume it isn’t vulnerable either.

Misschien is Linux niet de beste keuze ;)
18-11-2021, 15:07 door Anoniem
Door _R0N_:Kun je wel zeggen maar

The researchers tested to see if DNS software was vulnerable when running on either Windows or Free BSD and found no evidence it was. Since macOS uses the FreeBSD network stack, they assume it isn’t vulnerable either.

Misschien is Linux niet de beste keuze ;)

"A third is to reject ICMP redirects."

Did is het juiste antwoord. Zoals in de comments ook al staat waarom staat niet boven aan ? Dit is een feature die eigenlijk gewoon uit mag staan. Ik vroeg me altijd af waarom dit standaard aan staat.
19-11-2021, 00:38 door Anoniem
Door _R0N_:
Door walmare:
Door _R0N_:
Door Toje Fos:
Amerikaanse federale overheidsinstanties moeten verschillende actief aangevallen kwetsbaarheden in Exchange, Excel, GitLab en Windows voor 1 december van dit jaar patchen, zo heeft het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security bepaald.

Nou, ik wens ze veel sterkte en succes daarmee! Want al is de patch nog zo snel, Windows mal- en ransomware achterhaalt 'm wel. Als ze het ene patchen dan valt het andere om. Typisch voor een spaghetticodebouwwerk.

Die GitLab fix daarentegen is waarschijnlijk triviaal.

Kijk dit is precies waarom het zo vaak mis gaat.
Nee die Gitlab patch is niet triviaal maar net zo belangrijk.

Net als deze https://arstechnica.com/gadgets/2021/11/dan-kaminskys-dns-cache-poisoning-attack-is-back-from-the-dead-again/
Maar de fanatieke Linux aanhangers hebben oogkleppen op.
Die gitlab patch is alleen belangrijk als de overheid deze on premise zelf heeft geïnstalleerd. Blijkbaar hebben ze afscheid genomen van Github sinds microsoft eigenaar is geworden?
Jammer voor jou poging maar mijn Linux desktop is hier 100% niet vatbaar voor (ik kan niet gepinged worden en ben geen dns service provider). Windows werkplekken lopen wel veel meer gevaar omdat internet sites gespoofed kunnen worden en windows zo vatbaar is voor drive-by download infecties. De meeste DNS servers draaien namelijk Linux (ook met een reden).

Kun je wel zeggen maar

The researchers tested to see if DNS software was vulnerable when running on either Windows or Free BSD and found no evidence it was. Since macOS uses the FreeBSD network stack, they assume it isn’t vulnerable either.

Misschien is Linux niet de beste keuze ;)
Het gaat niet alleen om de DNS service. Dat kan hij zeker wel zeggen want jij verbindt 2 verschillende zaken aan elkaar.
19-11-2021, 01:53 door [Account Verwijderd] - Bijgewerkt: 19-11-2021, 01:59
Door Anoniem: Het is toch bijzonder te noemen dat onze [sic] orakel Toje (met zogenaamd een eigen bedrijf, haha)

Vertel knul! Wat voor onderbouwing heb je voor dat 'zogenaamd' en 'haha'?

Door Anoniem: wel altijd precies weet dat Microsoft patchen te relateren zijn aan spaghetticode en dat andere fixes triviaal zijn en Linux noooooooit te maken heeft gehad met een security probleem.

Dat klopt...

Door Anoniem: Het laat weer eens zien hoe competent hij is zullen we maar zeggen.

Wie zijn 'we'?
19-11-2021, 07:12 door Bitje-scheef
Door _R0N_:
Door Toje Fos:
Amerikaanse federale overheidsinstanties moeten verschillende actief aangevallen kwetsbaarheden in Exchange, Excel, GitLab en Windows voor 1 december van dit jaar patchen, zo heeft het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security bepaald.

Nou, ik wens ze veel sterkte en succes daarmee! Want al is de patch nog zo snel, Windows mal- en ransomware achterhaalt 'm wel. Als ze het ene patchen dan valt het andere om. Typisch voor een spaghetticodebouwwerk.

Die GitLab fix daarentegen is waarschijnlijk triviaal.

Kijk dit is precies waarom het zo vaak mis gaat.
Nee die Gitlab patch is niet triviaal maar net zo belangrijk.

Net als deze https://arstechnica.com/gadgets/2021/11/dan-kaminskys-dns-cache-poisoning-attack-is-back-from-the-dead-again/
Maar de fanatieke Linux aanhangers hebben oogkleppen op.

Alle OS'sen hebben hier last van, je kunt het uit/aan-zetten of afschermen.
Nee Linux is niet heilig en heeft zo nu en dan ook patches en fixes.

Exchange is gewoon gatenkaas, Outlook is gewoon gatenkaas. Teams is gatenkaas. Daarnaast is het bijzonder lucratief om gaten in Exchange en Outlook te vinden voor hackers en phishing wegens de install-base.

MS moet gewoon stoppen met alles op 75% gereed en getest uit te brengen.
19-11-2021, 10:53 door [Account Verwijderd]
Door _R0N_:
Door Toje Fos: ...

Die GitLab fix daarentegen is waarschijnlijk triviaal.

Kijk dit is precies waarom het zo vaak mis gaat.
Nee die Gitlab patch is niet triviaal maar net zo belangrijk.

Ik bedoelde (natuurlijk) triviaal om te maken en installeren. Duh...
19-11-2021, 16:45 door karma4
Door Toje Fos: Die GitLab fix daarentegen is waarschijnlijk triviaal.
De gitlab fix is onmogelijk op te lossen, Hard code passwords in code is zo fundamenteel verkeerd en toch gaan die er telkens weer is. Beter is het om met heel Git te stoppen wegens fundamentele foute aannames.
20-11-2021, 00:59 door Anoniem
Door karma4:
Door Toje Fos: Die GitLab fix daarentegen is waarschijnlijk triviaal.
De gitlab fix is onmogelijk op te lossen, Hard code passwords in code is zo fundamenteel verkeerd en toch gaan die er telkens weer is. Beter is het om met heel Git te stoppen wegens fundamentele foute aannames.
Heb je Microsoft al geïnformeerd. Ze hebben net het windows beheer ondergebracht in git!
20-11-2021, 18:02 door Anoniem
Door karma4: De gitlab fix is onmogelijk op te lossen,
Even nagekeken. Debian had de bug in ExifTool, die het veroorzaakt, op 2 mei van dit jaar al gepatcht. De oplossing is dus om een nieuwere versie van ExifTool te gebruiken die gewoon beschikbaar is. Als die binnen GitLab wordt gebruikt is dit probleem in GitLab daarmee ook opgelost. Je houdt er een gekke definitie van "onmogelijk" op na.
Hard code passwords in code is zo fundamenteel verkeerd en toch gaan die er telkens weer is.
Dat was hier het probleem niet, het probleem met GitLab was dat het ExifTool gebruikt om geüploade afbeeldingen te inspecteren en dat ExifTool code in een gemanipuleerd DjVu-bestand kan uitvoeren.
Beter is het om met heel Git te stoppen wegens fundamentele foute aannames.
Het probleem zit helemaal niet in Git. GitLab is niet Git, het gebruikt Git — en ExifTool. GitLab heeft last van een probleem in ExifTool en jij schrijft het aan Git toe? De logica die je hier toepast is zoiets als je fietsband op gaan pompen als je ketting eraf ligt.
23-11-2021, 12:26 door [Account Verwijderd] - Bijgewerkt: 23-11-2021, 12:30
Door karma4:
Door Toje Fos: Die GitLab fix daarentegen is waarschijnlijk triviaal.
De gitlab fix is onmogelijk op te lossen, Hard code passwords in code is zo fundamenteel verkeerd en toch gaan die er telkens weer is. Beter is het om met heel Git te stoppen wegens fundamentele foute aannames.

Welke passwords in de code? Hoe kom je er in hemelsnaam bij dat GitLab wachtwoorden in hun code zou zetten?

Of bedoel je dat mensen die git gebruiken hun wachtwoorden onder versiebeheer zouden zetten? Als iemand dat doet dan is git wel het minste probleem (tegen dat soort domheid is niets bestand).

Of wil je alle versiebeheer in een kwaad daglicht stellen met jouw rare speculaties? Dan heb je weinig begrepen van professionele softwareontwikkeling! (Dat is geen verrassing).
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.