image

"Zwarte patchdinsdag Microsoft in april"

vrijdag 12 maart 2010, 12:23 door Redactie, 23 reacties

De patchcyclus van maart ligt nog geen drie dagen achter ons, maar volgens beveiligingsexpert Andrew Storms kunnen systeembeheerders voor april hun borst nat maken. Microsoft is gemiddeld zestig dagen bezig met het testen van updates, zo ontdekte Storms, directeur Security Operations bij beveiligingsbedrijf nCircle.

Het is volgens hem vrij eenvoudig om te bepalen hoe lang de softwaregigant een patch heeft getest. "Als je nieuwsgierig bent, download de patch en kijk naar de datum van de digitale handtekening." Storms erkent dat dit niet helemaal accuraat is, omdat een patch het Quality Assurance (QA) proces meerdere keren kan binnengaan en verlaten. "Maar het is een redelijke schatting."

Voorspellen
Aan de hand van deze methode berekende hij dat Microsoft de patches van december 54 dagen had getest, terwijl men in november na 36 dagen al klaar was. De updates van oktober kregen na 45 dagen groen licht. "Het is niet lastig om van deze getallen tot een gemiddelde van zestig dagen te komen." Volgens Storms kunnen security teams en systeembeheerders de gegevens gebruiken om het uitrollen van de patches beter te plannen. "Hoewel we nooit helemaal de exacte patchdetails kunnen voorspellen."

Afwisseling
Microsoft wisselt daarbij een drukke patchdinsdag met een rustige af, wat ook geldt voor de omvang. "Maart was een behoorlijk lichte patchdinsdag, dus kunnen we verwachten dat het aantal Security Bulletins voor april waarschijnlijk boven de tien zal uitkomen." Storms merkt op dat systeembeheerders nu de kans hebben om het achterstallige uitrollen van patches in te lopen.

"Door vooruit te denken over april, is het zinvol om een grote patchronde van Microsoft te anticiperen, dus plan dat je alle hens aan dek hebt." Storms kan best gelijk krijgen, aangezien verschillende bekende lekken in Internet Explorer nog altijd op een patch wachten.

Reacties (23)
12-03-2010, 12:46 door Anoniem
Klagende klant:
Waarom werken mijn applicaties niet meer?
Antw:
Meneer, we hebben alle veiligheids updates doorgevoerd volgens
onze SLA verplichting. Wellicht is uw software daar gevoelig voor.
Klant:
Maar wordt dat niet eerst getest dan?
Antw:
Volgens onze administratie heeft u bij aanschaf gekozen om geen identieke test-server extra aan te schaffen.
Er is dus geen mogelijkheid om updates te testen.
U heeft ons ook verplicht om per direct alle veiligheids updates te installeren.
Klant:
Dat accepteer ik niet. Ik wil NU jou manager spreken!
12-03-2010, 12:48 door Anoniem
Goed dat Storms patches controleert want rekenen kan hij niet.
Het gemiddelde van 54 dagen en 36 dagen is ("natuurlijk") 45 dagen.
12-03-2010, 12:53 door Anoniem
Zo en wannaar gaat Microsoft al die uren besteedt aan verplichte updates nu eens vergoeden?

We kunnen het wel doorberekenen ad klant maar die zit ook niet op die onderhoudskosten te wachten.

Zeker als daar ICT niet een doel op zich is.


Blijf doordromen...
12-03-2010, 13:00 door Spiff has left the building
Beste Redactie,

Het volgende schreef ik al eerder, in verband met een eerdere patch-dinsdag,
ik herhaal het nog maar eens:

Waarom toch altijd die uitdrukking 'zwarte dag' voor die patch-dinsdagen?
Ja okee, in alle gevallen waarin de update niet is geautomatiseerd hebben systeembeheerders er een hele klus aan, een zware dag zo je wilt, maar dat is toch iets heel anders dan een 'zwarte dag'.

Een 'zwarte dag' is een dag waarop iets zeer ongunstigs gebeurt, een donkere, rampzalige dag, een ongeluksdag.
Met alle goeie wil in de wereld kan ik een drukke dag voor systeembeheerders toch alleen maar als zwaar voor ze zien, en werkelijk niet als rampzalig.

Dus kom op, Redactie, graag in het vervolg een andere benoeming voor die patch-dinsdagen.
Noem ze druk of noem ze zwaar, maar bewaar de uitdrukking 'zwarte dag' voor dingen die werkelijk rampzalig zijn.

Bedankt alvast.
12-03-2010, 13:08 door Anoniem
Door Spiff:
Beste Redactie,

Het volgende schreef ik al eerder, in verband met een eerdere patch-dinsdag,
ik herhaal het nog maar eens:

Waarom toch altijd die uitdrukking 'zwarte dag' voor die patch-dinsdagen?
Ja okee, in alle gevallen waarin de update niet is geautomatiseerd hebben systeembeheerders er een hele klus aan, een zware dag zo je wilt, maar dat is toch iets heel anders dan een 'zwarte dag'.

Een 'zwarte dag' is een dag waarop iets zeer ongunstigs gebeurt, een donkere, rampzalige dag, een ongeluksdag.
Met alle goeie wil in de wereld kan ik een drukke dag voor systeembeheerders toch alleen maar als zwaar voor ze zien, en werkelijk niet als rampzalig.

Dus kom op, Redactie, graag in het vervolg een andere benoeming voor die patch-dinsdagen.
Noem ze druk of noem ze zwaar, maar bewaar de uitdrukking 'zwarte dag' voor dingen die werkelijk rampzalig zijn.

Bedankt alvast.



Idd, en bovendien wordt bijna elke patchdinsdag van MS zwart genoemd, als je het dan perse zwart moet doen, doe het dan alleen bij echt zware uitzonderingen..
12-03-2010, 13:09 door Anoniem
Dus kom op, Redactie, graag in het vervolg een andere benoeming voor die patch-dinsdagen.
Noem ze druk of noem ze zwaar, maar bewaar de uitdrukking 'zwarte dag' voor dingen die werkelijk rampzalig zijn.

Je hebt nog nooit een rotte patch gezien installeerd/pushed worden in een omgeving met meer dan 2 PC's (zeg 40.000 PC's/Servers) ? Geloof me, het trackrecord van Microsoft patches kwalificeerd 'zwarte dinsdag'.
12-03-2010, 13:23 door _R0N_
Door Spiff:
Waarom toch altijd die uitdrukking 'zwarte dag' voor die patch-dinsdagen?

a) Goede dingen van MS moeten omgebogen worden naar een negatief getint iets(?)
b) Het verhelpen van lekken in MS producten zijn een tegenslag voor een hoop gebruikers hier(?)
c) Wat MS ook doet het is nooit goed
d) Iedereen die hier komt weet allang dat de redactie niet het sterkst is in het bedenken van juiste titels.
12-03-2010, 13:23 door Anoniem
Door Spiff:
Beste Redactie,

Het volgende schreef ik al eerder, in verband met een eerdere patch-dinsdag,
ik herhaal het nog maar eens:

Waarom toch altijd die uitdrukking 'zwarte dag' voor die patch-dinsdagen?
Ja okee, in alle gevallen waarin de update niet is geautomatiseerd hebben systeembeheerders er een hele klus aan, een zware dag zo je wilt, maar dat is toch iets heel anders dan een 'zwarte dag'.

Een 'zwarte dag' is een dag waarop iets zeer ongunstigs gebeurt, een donkere, rampzalige dag, een ongeluksdag.
Met alle goeie wil in de wereld kan ik een drukke dag voor systeembeheerders toch alleen maar als zwaar voor ze zien, en werkelijk niet als rampzalig.

Dus kom op, Redactie, graag in het vervolg een andere benoeming voor die patch-dinsdagen.
Noem ze druk of noem ze zwaar, maar bewaar de uitdrukking 'zwarte dag' voor dingen die werkelijk rampzalig zijn.

Bedankt alvast.



zou het zelf niet beter gezegt kunnen hebben ;-)
12-03-2010, 13:53 door Anoniem
Door _R0N_:
Door Spiff:
Waarom toch altijd die uitdrukking 'zwarte dag' voor die patch-dinsdagen?

a) Goede dingen van MS moeten omgebogen worden naar een negatief getint iets(?)
b) Het verhelpen van lekken in MS producten zijn een tegenslag voor een hoop gebruikers hier(?)
c) Wat MS ook doet het is nooit goed
d) Iedereen die hier komt weet allang dat de redactie niet het sterkst is in het bedenken van juiste titels.

Ach wat zielig.......

Volgens mij wordt met de zwarte dinsdag bedoeld dat het dan druk is (....voor systeembeheerders). Net als dat we zwarte dagen kennen op vakanties (je weet wel, dan is het erg druk op de vakantie routes).
12-03-2010, 13:56 door Anoniem
Door Anoniem: Klant:
Dat accepteer ik niet. Ik wil NU jou manager spreken!
Manager: We snappen niets van IT en kunnen daarom geen image/snapshot/idr maken zodat u er weinig van merkt als het wel fout gaat. VM-wat? Hyper wat? Imaging?
Klant: Dan moet ik maar eens met een echt bedrijf gaan praten dat snapt hoe het wel werkt
12-03-2010, 15:09 door SirDice
Door Anoniem:
Dus kom op, Redactie, graag in het vervolg een andere benoeming voor die patch-dinsdagen.
Noem ze druk of noem ze zwaar, maar bewaar de uitdrukking 'zwarte dag' voor dingen die werkelijk rampzalig zijn.

Je hebt nog nooit een rotte patch gezien installeerd/pushed worden in een omgeving met meer dan 2 PC's (zeg 40.000 PC's/Servers) ? Geloof me, het trackrecord van Microsoft patches kwalificeerd 'zwarte dinsdag'.
Je hebt nog nooit WSUS gezien zeker? Patches test je voordat je ze vrij geeft.
12-03-2010, 15:11 door SirDice
Door Anoniem: Klant:
Dat accepteer ik niet. Ik wil NU jou manager spreken!
Manager: U heeft getekend voor die voorwaarden. Dan had u een andere SLA af moeten spreken. Ik verbind u wel even door met onze sales afdeling. Daar kunt u een test server bestellen en over een andere SLA onderhandelen. Goedemiddag.
12-03-2010, 15:37 door Anoniem
Door SirDice:
Door Anoniem:
Dus kom op, Redactie, graag in het vervolg een andere benoeming voor die patch-dinsdagen.
Noem ze druk of noem ze zwaar, maar bewaar de uitdrukking 'zwarte dag' voor dingen die werkelijk rampzalig zijn.

Je hebt nog nooit een rotte patch gezien installeerd/pushed worden in een omgeving met meer dan 2 PC's (zeg 40.000 PC's/Servers) ? Geloof me, het trackrecord van Microsoft patches kwalificeerd 'zwarte dinsdag'.
Je hebt nog nooit WSUS gezien zeker? Patches test je voordat je ze vrij geeft.

Wij hebben hier een vent werken die Murphy heet. Hij staat niet op de loonlijst. We zien hem nooit. Maar hij schijnt wel altijd te komen werken in de week tussen de uitrol van patches op de testservers en die op de productieservers.

Peter
12-03-2010, 15:48 door Walter
Door SirDice:
Door Anoniem: Klant:
Dat accepteer ik niet. Ik wil NU jou manager spreken!
Manager: U heeft getekend voor die voorwaarden. Dan had u een andere SLA af moeten spreken. Ik verbind u wel even door met onze sales afdeling. Daar kunt u een test server bestellen en over een andere SLA onderhandelen. Goedemiddag.
Dat zou wel de reactie van een goede manager moeten zijn. Helaas zijn die er niet bij alle bedrijven (waar ik nu zit gelukkig wel).
Wij hebben onlangs ons patch management ook aangepast hierop. We geven de klanten 3 opties:
1: Geen testomgeving, is gratis, weinig garanties, weinig zekerheid. Bij problemen heeft de klant de updates zelf goedgekeurd en is het eigen risico.
2: Generieke testomgeving, is vrij goedkoop. Dit omvat een generieke serverinstallatie van Windows. Dus 1 exchange server, 1 sql server, 1 domain controller en nog wat andere mogelijkheden, maar geen klantspecifieke software. Risico is kleiner, omdat wij hier de patches op testen, gaat dit mis worden ze niet uitgerold. Wij keuren goed, klant moet dit alsnog goedkeuren, problemen met specifieke apps, is eigen risico.
3: Een testomgeving welke een kopie is van de klantomgeving. Is duur, nog geen enkele van onze klanten heeft hiervoor gekozen. Risico: Minimaal, omdat alle updates eerst op de testomgeving worden geinstalleerd. Als er na uitrollen alsnog problemen zijn met de updates of software, is dit een teken dat er niet goed getest is (testcriteria worden aangeleverd door de klant, zij voeren dan zelf ook functionele tests uit).

Overigens: Als je geen virtuele omgeving hebt (die zijn ook niet zaligmakend) is een oplossing altijd nog om voor installeren van de updates met selfimage bijvoorbeeld even een image te trekken van de server.
12-03-2010, 17:41 door SirDice
Door Walter: Dat zou wel de reactie van een goede manager moeten zijn.
Die moet je ook apart hangen ;)
12-03-2010, 17:44 door SirDice
Door Anoniem:
Door SirDice:
Door Anoniem:
Dus kom op, Redactie, graag in het vervolg een andere benoeming voor die patch-dinsdagen.
Noem ze druk of noem ze zwaar, maar bewaar de uitdrukking 'zwarte dag' voor dingen die werkelijk rampzalig zijn.

Je hebt nog nooit een rotte patch gezien installeerd/pushed worden in een omgeving met meer dan 2 PC's (zeg 40.000 PC's/Servers) ? Geloof me, het trackrecord van Microsoft patches kwalificeerd 'zwarte dinsdag'.
Je hebt nog nooit WSUS gezien zeker? Patches test je voordat je ze vrij geeft.

Wij hebben hier een vent werken die Murphy heet. Hij staat niet op de loonlijst. We zien hem nooit. Maar hij schijnt wel altijd te komen werken in de week tussen de uitrol van patches op de testservers en die op de productieservers.

Peter
Het gaat ongetwijfeld wel eens een keertje iets mis maar elke maand een chaos dat geloof ik niet. Mocht dat wel zo zijn dan zou ik toch maar eens serieus naar je test plan kijken want dan klopt daar iets niet.
12-03-2010, 20:45 door Anoniem
Door Walter:
Door SirDice:
Door Anoniem: Klant:
Dat accepteer ik niet. Ik wil NU jou manager spreken!
Manager: U heeft getekend voor die voorwaarden. Dan had u een andere SLA af moeten spreken. Ik verbind u wel even door met onze sales afdeling. Daar kunt u een test server bestellen en over een andere SLA onderhandelen. Goedemiddag.
Dat zou wel de reactie van een goede manager moeten zijn. Helaas zijn die er niet bij alle bedrijven (waar ik nu zit gelukkig wel).
Wij hebben onlangs ons patch management ook aangepast hierop. We geven de klanten 3 opties:
1: Geen testomgeving, is gratis, weinig garanties, weinig zekerheid. Bij problemen heeft de klant de updates zelf goedgekeurd en is het eigen risico.
2: Generieke testomgeving, is vrij goedkoop. Dit omvat een generieke serverinstallatie van Windows. Dus 1 exchange server, 1 sql server, 1 domain controller en nog wat andere mogelijkheden, maar geen klantspecifieke software. Risico is kleiner, omdat wij hier de patches op testen, gaat dit mis worden ze niet uitgerold. Wij keuren goed, klant moet dit alsnog goedkeuren, problemen met specifieke apps, is eigen risico.
3: Een testomgeving welke een kopie is van de klantomgeving. Is duur, nog geen enkele van onze klanten heeft hiervoor gekozen. Risico: Minimaal, omdat alle updates eerst op de testomgeving worden geinstalleerd. Als er na uitrollen alsnog problemen zijn met de updates of software, is dit een teken dat er niet goed getest is (testcriteria worden aangeleverd door de klant, zij voeren dan zelf ook functionele tests uit).

Overigens: Als je geen virtuele omgeving hebt (die zijn ook niet zaligmakend) is een oplossing altijd nog om voor installeren van de updates met selfimage bijvoorbeeld even een image te trekken van de server.

Mag ik aannemen dat jullie een patch die jullie getest hebben in de "test-omgeving" en die daar slecht bevonden werd (om eender welke reden) toch uitrollen bij de klanten die niet op optie 2 ingeschreven hebben. Ik denk het niet en dus heb ik bij de keuze voor optie 1 sowieso de coverage van optie 2 zonder de extra kosten :-)
12-03-2010, 22:18 door [Account Verwijderd]
[Verwijderd]
13-03-2010, 08:44 door Anoniem
Vroeger was hier altijd kritiek omdat anderen veel meer en sneller patchten. Nou doet MS het weer niet goed. Wel eens gekeken naar bijvoorbeeld Adobe? Het viel mij van de week op bij die "nieuwsbrief" van de overheid. Die leek wel geschreven door security.nl, want van alle anderen werd alleen verteld dat fouten waren gerepareerd, maar bij alles van Microsoft dat er lekken waren gevonden, en verder niks.

Maar het gekke is dat de massa nog steeds niet kiest voor de alternatieven, zoals Linux. Terwijl dat volgens zeggen gratis is. Dan moet er toch iets anders aan de hand zijn. Zwart maken van MS werkt dus niet. Doe dan eens gewoon normaal en behandel iedereen gelijk.

O ja, en laat je nou eens niet meer betalen door Google. Haal die advertenties hier eens weg en word nou eens een keer echt objectief. Ik kijk hier af en toe snel of er nog iets anders staat dan hatelijke berichten over Microsoft, maar verder heeft security.nl bij velen niet zo'n beste naam meer. Ik heb een proef van anderen hier gevolgd die kritiek leverden op security.nl, maar dat werd heel snel stiekem verwijderd. Lekker objectief. Eens kijken of dit geplaatst wordt, ik heb anderen al op de hoogte gesteld van de inhoud van deze reactie om eens te kijken hoe ver de redactie gaat.
13-03-2010, 10:50 door soeperees
Beste Redactie......

Kneus! Toen ik nog MS-developer was hield ik altijd mijn hart vast op dit soort dinsdagen. Zeker bij klanten die boeteclausules hadden op downtime van de server. Zelfs met staging, test en development machines die gelijk zijn, kunnen er nog steed dingen mis gaan die op een andere bak wel goed gaan. Inferieure rommel dus, die MS software.
13-03-2010, 15:45 door Anoniem
Laat me eens raden: je bent ontslagen bij Microsoft omdat je onder de maat presteerde.
13-03-2010, 16:31 door Spiff has left the building
Prima hoor, "soeperees", dat je ook een mening hebt.
Maar dat je bij het uiten daarvan je toevlucht moet nemen tot dom schelden, dat getuigt niet van intelligentie.
Niet erg "soeper".
15-03-2010, 08:12 door spatieman
zwarte dinsdag.
dat klinkt zo lekker discriminerend.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.