Windows NT4 nog altijd kwetsbaar voor kritiek SMB lek
Microsoft mag gisteren dan eindelijk een patch voor een kritiek lek, dat al twee maanden bekend was, in Windows 98, 98SE en ME hebben gepubliceerd, honderdduizenden Windows NT4 gebruikers zitten nog steeds met een security probleem. Er is namelijk nog steeds geen update beschikbaar voor een lek in een belangrijk Windows networking protocol. Via het kritieke lek in het Server Message Block (SMB) protocol kan een aanvaller een kwetsbare machine overnemen. Microsoft verhielp het probleem in de february security update, maar sinds 1 januari verschijnen er geen updates meer voor Windows NT4, waardoor het besturingssysteem kwetsbaar blijft. Alleen klanten die voor speciale ondersteuning betalen kunnen een fix installeren die het probleem verhelpt. Een groot probleem, want veel NT4 eigenaren kunnen deze vorm van support niet betalen.
Volgens een overzicht van Netcraft draait 1,1% van de "web-facing hostnames" op Windows NT4. Duizenden websites die op deze servers draaien zouden voor e-commerce gebruikt kunnen worden, met alle risico's van dien. "Als je organisatie ongelukkig genoeg is om nog steeds Windows NT 4.0 systemen te gebruiken, dan heb je niet veel opties." aldus Marc Maiffret van eEye Digital Security. Volgens Maiffret kunnen bedrijven gebruik maken van SMB signing, wat extra bescherming kan bieden, maar ook voor problemen met bestaande applicaties kan zorgen. Daar komt bij dat de meeste exploit tools SMB signing niet ondersteunen. Besluit een aanvaller dit wel te ondersteunen, dan is men weer kwetsbaar, maar het is beter dan niets, zo laat Maiffret weten, die NT4 eigenaren tevens wijst op de NSA Windows NT 4.0 security guidelines.
Zelfs flink betalende klanten krijgen geen extra patches.
"Volgens een overzicht van Netcraft..." Ja? En? Dat zijn webservers en het
domste wat je op die dingen kan doen (naast lege admin wachtwoorden)
is je SMB poorten openzetten. Daarnaast is je SMB _client_ kwetsbaar. Je (of
een process) moet zelf actief een connectie initieren om te kunnen worden
geinfecteerd.
Volgens mij krijgt deze bug zoveel aandacht, omdat met denkt dat je
geinfecteerd kunt worden a la MS Blaster. Dat is dus niet zo.
moeilijkheden. Microsoft biedt al jaren betere en veiligere
Windows-versies. Als je NT 4 blijft ondersteunen, waarom dan
niet NT 3.50? Dan kun je wel aan de gang blijven.
Dan kun je wel aan de gang blijven.
dat gebruikers security patches moeten blijven krijgen.
Vindt ik ook, wie nu nog NT gebruikt vraagt om
moeilijkheden. Microsoft biedt al jaren betere en veiligere
Windows-versies. Als je NT 4 blijft ondersteunen, waarom dan
niet NT 3.50? Dan kun je wel aan de gang blijven.
Laat ze daarom eens een pas op de plaats maken en de
gebouwde rommel eens afmaken tot iets volwaardigs ipv steeds
het probleem te verschuiven naar die "zoveel nieuwere en
betere software"
Wat denk je dat ik zit te wachten op dat shit-XP met SP2,
SP3 SP4 SP5 etc etc ?
Ze moeten gewoon eens een keer iets bouwen wat WERKT !
Laat ze anders de code van NT4 vrijgeven zodat een ander hun
halve werk kan voltooien !
Ze moeten gewoon eens een keer iets bouwen wat WERKT !
Laat ze anders de code van NT4 vrijgeven zodat een ander hun
halve werk kan voltooien !
waar zijn de developers die aan de 2.0 kernel van linux werken? Waar zijn
de developers die de cisco AGS ondersteunen? waar zijn de developers
die OS/2 ondersteunen?
Sommige producten zijn gewoon EOL. Je kan dan kiezen om dat stug te
blijven gebruiken of een nieuwe kopen die wel veiliger is.
Mensen die nu in een auto uit 1994 rijden hoor ik ook niet klagen dat ze
geen airbags hebben en meesturende voorlichten.
Wat denk je dat ik zit te wachten op dat shit-XP met SP2,
SP3 SP4 SP5 etc etc ?
Ik heb wel met smart zitten wachten op SP2, omdat die veel problemen
voor klanten van mij heeft opgelost en daarnaast nieuwe features heeft
geintroduceert.
En hoe je het ook wendt of keert, iedereen is feature-geil. Dus niet
maauwen en upgraden.
(of zeg je ook nee tegen je baas als je een nieuwe leasebak mag
uitzoeken, omdat deze pas 80.000 km op de teller heeft??)
we stoppen met patches leveren, koop maar een volgend
prijzig product vol gaten. Dan zegt MS vervolgens dat ze wel
blijven patchen en zeker de kritieke lekken omdat de klanten
dat willen. En wat gebeurt er nu weer: MS doet er in
werkelijkheid geen donder aan als er een kritiek lek is en
dwingt klanten zo alsnog om over te stappen. Bij MS krijg je
gewoon geen waar voor je geld, geen service,niks. Het gaat
ze niet om het product, de veiligheid of de klanten maar
enkel om de verkoop cijfers.
Dit is gewoon te belachelijk voor woorden. Eerst is het: nee
we stoppen met patches leveren, koop maar een volgend
prijzig product vol gaten. Dan zegt MS vervolgens dat ze wel
blijven patchen en zeker de kritieke lekken omdat de klanten
dat willen. En wat gebeurt er nu weer: MS doet er in
werkelijkheid geen donder aan als er een kritiek lek is en
dwingt klanten zo alsnog om over te stappen. Bij MS krijg je
gewoon geen waar voor je geld, geen service,niks. Het gaat
ze niet om het product, de veiligheid of de klanten maar
enkel om de verkoop cijfers.
What else is new ??
Ze moeten gewoon eens een keer iets bouwen wat WERKT !
Laat ze anders de code van NT4 vrijgeven zodat een ander hun
halve werk kan voltooien !
waar zijn de developers die aan de 2.0 kernel van linux
werken? Waar zijn
de developers die de cisco AGS ondersteunen? waar zijn de
developers
die OS/2 ondersteunen?
Sommige producten zijn gewoon EOL. Je kan dan kiezen om dat
stug te
blijven gebruiken of een nieuwe kopen die wel veiliger is.
Mensen die nu in een auto uit 1994 rijden hoor ik ook niet
klagen dat ze
geen airbags hebben en meesturende voorlichten.
ook onderdelen zijn zeer waarschijnlijk nog te krijgen,
nieuw of gebruikt.
En je betaalt gewoon arbeidsloon en niet extra "omdat 't
zo'n oud model is'. Slecht voorbeeld!
De upgrade naar een nieuwer kernel kost je *NIETS*.
De upgrade naar nieuwe Windows-versies...
Daarom dus!
Ze moeten gewoon eens een keer iets bouwen wat WERKT !
Laat ze anders de code van NT4 vrijgeven zodat een ander hun
halve werk kan voltooien !
waar zijn de developers die aan de 2.0 kernel van linux
werken? Waar zijn
de developers die de cisco AGS ondersteunen? waar zijn de
developers
die OS/2 ondersteunen?
Sommige producten zijn gewoon EOL. Je kan dan kiezen om dat
stug te
blijven gebruiken of een nieuwe kopen die wel veiliger is.
Mensen die nu in een auto uit 1994 rijden hoor ik ook niet
klagen dat ze
geen airbags hebben en meesturende voorlichten.
Nogmaals:
Laat ze anders de code van NT4 vrijgeven zodat een ander hun
halve werk kan voltooien !
werken?
Fixes worden nog gewoon doorgevoerd voor 2.0, 2.2 en 2.4
Dat is het voordeel van Open Source ;)
In 2004, 8 jaar later:
ftp://ftp.nl.kernel.org/pub/linux/kernel/v2.0/
- 2.0.40-rc8 was released as 2.0.40 with no changes.
2.0.40-rc8
Ahem, 2.0.40-rc7 never happened, and thus never contained a
non-working
sk_buff.c... *Lalalalala*
o Fix sk_buff.c (me)
| Thanks to the following who
| informed me of my blunder:
| Jari Ruusu, Seiichi Nakashima,
| Steven ?, Michael Deutschmann
o Correct AF_UNIX fd-passing (Michael Deutschmann)
semantics to match what OpenSSH
expects
o Fix typo in rtl8139.c introduced in (me)
2.0.40-rc7
o Fix typo in ni65.c introduced in (me)
2.0.40-rc7
o Fix compile-time error in pci2000.h (me)
o Fix ICMP-fix for ip_forward.c (me)
o Fix two compile-time warnings (me)
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.