Microsoft waarschuwt haar Azure klanten die Linux gebruiken voor alweer een allang gepatcht lek. Eigenlijk is het dus een waarschuwing om tijdig te patchen. Vreemd dat hun klanten daarvoor gewaarschuwd moeten worden want het updatesysteem van een Linux distro doet dat normaliter gewoon automatisch. Dan moet je al rare sprongen maken om tegen alle updatewaarschuwingen in niet te patchen.

Selectief verontwaardigde hypocriet.

Als mensen een lang bekende kwetsbaarheid niet patches binnen Windows dan is de wereld te klein.

Daar zijn ze lekker op tijd mee, het is 17 juni al gefixt :-)
https://www.theregister.co.uk/2019/06/17/linux_tcp_sack_kernel_crash/
https://git.kernel.org/pub/scm/linux/kernel/git/davem/net.git/commit/?id=3b4929f65b0d8249f19a50245cd88ed1a2f78cff

Ik denk dat dat komt doordat de mentaliteit tegenover Linux anders is dan bij Windows. Veel Linux gebruikers, servers en desktop wanen zich over het algemeen wel veilig ten opzichte van Windows dus patches installeren heeft een lagere prioriteit bij deze doelgroep.

Blijkbaar updaten niet alle Linux beheerders zo goed hun systemen? Dat zien we namelijk wel vaker, en is eigenlijk ook heel normaal. Je ziet door de updates het bos namelijk niet meer. Iedere dag kunnen er updates uitkomen, wat gewoon niet te beheren is. Dus wacht je gewoon..... Als je het al doorhebt dat er een update beschikbaar.

Dus goed dat een cloud leverancier verantwoordelijkheid neemt, om hun klanten extra te waarschuwen. Blijkbaar is dit dus duidelijk noodzakelijk.

Daarnaast auto update van systemen? Heel gevaarlijk.. Zou je werkelijk niet moeten willen als bedrijf, en gaat ook tegen alle certificeringen in. Beheerders moeten dit soort updates altijd door voeren, via een change proces.

Nou nee, dat zien 'we' helemaal niet vaker! De grote partijen - zoals Google - die Linux gebruiken zijn namelijk opvallend weinig in het nieuws als het over gehackt worden gaat. Blijkbaar hebben zij hun zaakjes goed op orde. Alleen de Microsoft Azure klanten die Linux draaien zijn volgens Microsoft nalatig in hun beveiliging. Dat kan zijn omdat Microsoft dat alleen maar zegt om Linux de zwarte piet toe te spelen. Of Linux gebruikers die Microsoft kiezen voor hun hosting zijn gewoon niet zo slim?


Op zich is het alarmeren inderdaad een goede zaak. Er is echter in dit geval en bij het vorige 'alarm' allang een patch en de rest van de wereld heeft geen moeite die te vinden en te installeren. Ik weet het, je mag het niet denken en het is natuurlijk ook erg onwaarschijnlijk maar blokkeert Microsoft misschien de patch updates op hun Azure platform? Of - waarschijnlijker - is er helemaal geen probleem (de patch die er allang is is allang geïnstalleerd en Microsoft roept om andere redenen brand?)


Een goed systeem is zo ontworpen dat updates in principe doorgevoerd kunnen worden zonder dat dit gevolgen voor de werking van het systeem heeft. En in tegenstelling tot Microsoft Windows zijn reboots zeldzaam bij Linux updates. Maar auto updates zullen zelfs bij een Linux server niet volledig automatisch zijn ingesteld. Maak je dus geen zorgen.

Linux is zeker niet geschikt met automatische updates op servers. Te veel andere afhankelijkheden met schadelijke gevolgen De keus is goedkoop en snel leveren, kwaliteit mist.
Niet voor niets dat alles zo open is in oss land. Open ofwel slechte security.

Geen enkele server wordt automatisch ge update, Linux niet, Microsoft niet. Slecht of goed beheer is OS onafhankelijk.

Dat en de grote spelers die Linux gebruiken zijn opvallend afwezig in security gerelateerd nieuws. Zij hebben hun zaakjes goed op orde. Zoals alleen kan met Linux natuurlijk. Met Microsoft Windows zou het niet eens kunnen. Vandaar natuurlijk dat die grote spelers dit ook niet gebruiken.

De grootste datalekken vanuit de Linux wereld oss websites zeer opvallende constant verzwegen. Enkel "have I been pawned" laat het resultaat zien..

Praat voor je zelf aub.

In Ubuntu verkleurt een knop op de werkbalk van kleur als er een update is, waarop je maar hoeft te klikken.
Als je dat doet, haal je alle op dat moment voorhanden zijnde updates, ed binnen, makkelijker kan het niet.

Aangezien heel veel systemen afhankelijk zijn van een linux kernel is het nodzakelijk patches door te voeren. Uiteraard kan dit niet altijd automatisch. Ook Palo Alto firewalls hebben een bug fix voor deze kwetsbaarheid. Ben benieuwd welke andere systemen kwetsbaar zijn.

Ach, ach, de wanhoop is compleet en nu wordt als laatste strohalm de complottheorie 'het wordt allemaal verzwegen' aangegrepen. Zielig...

Simpel. Vaak worden voor Linux omgevingen externe experts ingehuurd. Na 3 weken werk vertrekken ze, het project is afgelopen. Het bedrijf zelf update verder de Linux omgeving niet meer "want eng". Gelukkig zit ik bij een partij die dit wel doet. Als Security enthousiast zie ik dit tevaak gebeuren. Ook is er voor Linux (en jahoor geloof het of niet, Windows beheerders) een soort van trots in uptime van servers. 99.9% uptime met een kernel uit 1800. Reboot je puppy's na een update (indien nodig) ;).

Datalekken is één ding. Maar je zegt er niet bij dat deze lekken bij de serieuze bedrijven ook héél snel en effectief worden gepatcht. Om maar te zwijgen over de snelheid waarop deze patches beschikbaar zijn.

Je doet er ook alles aan om je in zo'n positie te manoeuvreren dat je toch even iets wilt "aantonen" ten aanzien van Linux. Maar het is duidelijk: je beschuldigt iedereen die het opneemt voor Linux en open source als "evangelist". Maar wat ben je dan zelf als je hetzelfde doet, maar de andere kant op? Toch net zo goed een evangelist?

Ik stel OS updates 2 maanden uit. En ik kijk dan alleen naar de geconstateerde problemen met die release en eventuele workarounds.

Je bedoeld daarmee, dat de lekken eerst door externe partijen gemeld worden, daar een oplossing voor zoeken, dan pas de informatie naar buiten gebracht wordt en dan melden, WIJ hebben het nu al opgelost.

Is dit echt een serieus verhaal? In wat voor omgevingen wordt er hier toch gewerkt? Is dit MKB of zo?


Baby's...

Exim vergeten? Hoeveel servers draaide daar wel niet een onveilige versie?
Zo kunnen we nog wel even door gaan. Microsoft als Cloud leverancier neemt tenminste hun verantwoordelijkheid en informeren. Het is echt niet heel veel anders bij andere cloud leveranciers of een on-prem omgeving. Zoek gewoon eens op internet, hoeveel onveilige versies wel niet gebruikt worden.

Sommige hebben daar alleen altijd zoveel moeite mee om dit te begrijpen.


Je laat duidelijk hier zien dat je werkelijk niet weet waarover je praat.
Updates zo maar installeren, je hebt hier dan echt heel snel pittige gesprekken met managers.
Ik lees trouwens ook vaak genoeg dat de updates toch echt een reboot nodig hebben, omdat anders de nieuwe versie niet geladen was door de applicatie.
Vaak genoeg toch wat problemen met de applicatie die draaide op de server.

Blijkbaar werk jij in een omgeving die optimaal is. Echter de wereld is een heel stuk groter met applicaties. Automatisch updates installeren is gewoon totaal onprofessioneel.

Je vergeet even de grootste datalekken ter wereld?
Yahoo, Facebook draaien toch ook op Linux?
Had Amazon in 2018 ook niet een klein lekje probleemje?

Had google ook niet een klein probleemje met google+?

Toevallig Tweakers gevolgd met de AEG omvormers? Draaide op Linux, oude MySQL, Oude SSH, slecht data ontwerp, hardcoded informatie. Omgeving draaide op Linux, maar zo te zien, geen automatische updates..... juist de Typische Linux omgeving.

Ik heb zelf ook wel eens mij een medisch bedrijf de nodige verkeerd geconfigureerde Linux servers gevonden met unsecure verouderde versies. Netjes melding van gemaakt, wat daarna keurig opgepakt en mijn gekregen Gall&Gall bon heb ik daarna een goede fles Wiskey gekocht.

Dus nee, je grote spelers komen ook gewoon slecht in het nieuws met security. Net zoals er heel veel unsecure Linux servers gewoon gebruikt worden of nog erger aan het Internet gangen.

Als je dat niet door hebt, dan heb je echt oogkleppen op.

Alle grote datalekken zijn afkomstig van Linux systemen. Dat valt niet te ontkennen, want dat bewijs is gewoon hard. Idem voor meeste gehackte websites die worden gehost of Linux systemen.

Maar iedereen die een beetje logisch kan nadenken, weet hoe het werkelijk zit. Maar de beste stuurlui staan altijd aan wal, toch kapitein (van de titanic).


Dit is een vrij normaal verhaal hoor. En echt niet alleen in het MKB, in een Enterprise gebeurt dit ook heel vaak. Te lastig, te complex, te onvoorspelbaar, te weinig informatie van wat er werkelijk op het systeem draait of wat de impact is. Of de applicatie ondersteund gewoon nog niet de nieuwe versie. Dus wordt er niet gepatched.
Ik zie heel wat Linux omgevingen die zwaar verouderd versies draaien, en bij fouten toch echt grote maatschappelijke impact kunnen hebben.
Als het fout gaat, dan lees je gegarandeerd er over op deze site en de kranten en in bepaalde kamers worden er vragen gesteld.

Terwijl daar de Microsoft systemen gewoon iedere maand hun patches krijgen zonder enige problemen.

Begrijpend lezen van het bovenstaande fragment "Maar auto updates zullen zelfs bij een Linux server niet volledig automatisch zijn ingesteld. Maak je dus geen zorgen." blijkt weer te hoog gegrepen. Je hangt jouw hele lulverhaal op aan een foute interpretatie van het geschrevene. Pak dat eerst eens aan met bijlessen Nederlands of zoiets. Mocht je dat lukken - ik heb serieus mijn twijfels - kom dan hier terug en probeer het nog eens.

Dat puntje had ik inderdaad gemist. Zoals sommige andere hier ook. Komt waarschijnlijk door alle onzin die je meestal uitkraamt.
Maar dan nog... Je installeert updates op deze manier nooit. Kans op issues is te groot, en soms is toch echt een reboot nodig om de geupdate actief te maken. Komt je natuurlijk altijd achteraf pas achter.

En voor de rest whatever.... Blijkbaar iets te complex voor je om logisch na te denken.

Nou nee... Het is weliswaar niet mijn vak maar zoiets doe ik er gewoon eventjes bij. En succesvol. En zonder al die problemen die je zo graag aandraagt met dat beheer 'zo complex' is, etc.

kijk nou toch eens

https://www.zdnet.com/article/microsoft-asks-to-join-private-linux-security-developer-list/

daar lezen we o.a. dat er een IoT linux gemaakt is door MS die op Azure draait (s/IoT/MS/g).

en what about dit juweeltje:

Indeed, Kroah-Hartman had "suggested that Microsoft join linux-distros a year or so ago when
it became evident that they were becoming a Linux distro, and it is good to see that they are now doing so"


ik denk dat er iemand hier een hartverzakking gaat krijgen :) ... als dat nu geen karma is dan ...