Opensource patch voor Windows XP TCP-lek?
Microsoft liet vorige week weten dat het geen patch voor het TCP-lek in Windows XP zal uitbrengen, daarom vragen sommige gebruikers of niemand anders een update wil ontwikkelen. "Ik vraag me af er geen brave borsten zijn die al aan een opensource patch voor dit probleem binnen XP werken of dit willen", zegt Aras "Russ" Memisyazici, systeembeheerder aan de Virginia Tech Universiteit.
Microsoft liet weten het "sockstress-lek" niet te zullen dichten, omdat het besturingssysteem standaard geen listening service in de client firewall heeft ingesteld, en daardoor niet kwetsbaar is. Verder zou de kwetsbaarheid alleen maar voor een denial of service zorgen waar het systeem zelf van herstelt en beschikt XP over een firewall die de computer tegen inkomend verkeer beschermt. Daarnaast zou het teveel werk zijn om de patch voor Windows XP te laten werken. "Wie weet hoeveel applicaties stuk gaan die voor XP ontworpen zijn als ze radicaal de TCP/IP stack veranderen", laat Eric Lukens weten, IT Security Policy en Risk Assessment analist aan de Universiteit van Noord Iowa.
Tijdbom
Toch lijkt de softwaregigant met het niet patchen van de kwetsbaarheid tegen de eigen levenscyclus in te gaan, want officieel wordt Windows XP tot april 2014 van updates voorzien. Volgens Susan Bradley is het niet dat Microsoft het besturingssysteem niet ondersteunt, maar dat het de gevolgen van een Denial of Service laag inschat, de mogelijkheid tot patchen onmogelijk/moeilijk acht en vervolgens een risicoberekening maakt, waarbij de uitkomt geen patch is. "Soms is de architectuur wat die is."
Op de Full-Disclosure mailinglist is inmiddels een discussie over het lek, de omschrijving en eventuele patch gaande. De consensus is dat de omschrijving die Microsoft hanteert niet erg duidelijk is en bijdraagt aan de verwarring. "Het lijkt erop dat de marketing afdeling het bulletin onder handen heeft genomen." Wat betreft het patchen vindt James Lay dat het probleem niet genegeerd mag worden. "Remote code of DoS, het is nog steeds een tijdbom. PCI DSS eist dat dit soort dingen worden gepatcht of verholpen als die in een omgeving met data van kaarthouders wordt geplaatst. Het niet patchen betekent extra werk voor bedrijven die creditcards verwerken en XP draaien."
u koopt maar een ander OS, en mischien dat we DIE ooit eens patchen,of niet..
CC's verwerken op een XP server?? :-~
http://www.debian.org/ ;-)
u koopt maar een ander OS, en mischien dat we DIE ooit eens patchen,of niet..
Ik snap best dat Microsoft geen zin heeft om de netwerkarchitectuur van Windows XP volledig overhoop te halen, zeker niet als het een platform betreft dat ze graag morgen dood hebben. Maar het is wel een beetje een middelvinger naar iedereen die nu nog XP draait en dat van plan is de komende jaren te blijven doen.
Maar niemand schijnt daar verder problemen mee te hebben dus wat maakt het uit.....
http://www.debian.org/ ;-)
Hier (http://crazzy.se/2009/sockstress) vermeldt iemand dat z'n Debian systeem (met 2.4 kernel) flink onderuit ging door een aangepaste Sockstress aanval.
Zie ook deze Slashdot discussie (http://it.slashdot.org/comments.pl?sid=1361585&cid=29361367) waarbij iemand eerst roept dat dit allang gepatched is in Debian maar dat op het laatst toch moet intrekken.
De patch die Microsoft binnen MS09-048 voor CVE-2008-4609 aka Sockstress heeft uitgebracht voor W2K3, Vista en hoger, bestaat uit (aldus http://www.microsoft.com/technet/security/Bulletin/ms09-048.mspx)
PS: heeft iemand een idee waarom RedHat het in die advisory over ARP-poisoning heeft? Begrijpen zij wel waar het over gaat, of snap ik niks van Sockstress? Zie http://en.wikipedia.org/wiki/Sockstress
Eigenlijk kan je het hele probleem al oplossen. Kies je favoriete emulator (virtualbox, vmware, xen) en stop er bsd of linux in. Vervolgens configureer je een bridge interface (zonder dat je het host OS een ip geeft, dus geen vinkje bij tcp/ip) en laat je host alleen online via een host2host interface tussen je virtuele machine en je host.
<lan/wan/internet> - <bridge nic> - <virtual machine> - <host2host nic> - <windows>
Let wel op dat een virtuele nic veel cpu cycles vraagt. (100mbit kan 1~2 Ghz van je host vragen).
debian.org? O ja een hele grote 5 DVD's (of 31 CD's)
Nee kies gewoon voor OpenSuSE 1 DVD niet moeilijk doen installeren en klaar. ;)
Iedere keer als een Linux distro genoemd wordt eindigt dit in een "dick measuring contest".
Het grote voordeel is dat ELKE distro in een keer gefixed wordt, daar zorgen Linus met zijn kammeraden wel voor!
Wij hoeven het systeem alleen te updaten!
Deze posting is gelocked. Reageren is niet meer mogelijk.
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
