De code is GPL dus als ik de NSA was dan zou ik maar gauw de code aanpassen ipv zitten te zaniken op de Russen.

Breaking news: pot verwijt ketel!

Als het kennelijke triggerwoord "Microsoft" ontbreekt, moet je misschien ook andere woorden lezen?
Wellicht wanen veel niet-Microsoft-software-beheerders zich onkwetsbaar...

Exim gebruikers misschien wel ja, maar dat geldt niet voor vele anderen.

Edit: Als deze fix al een jaar bekend is, hoe komt het dan dat de software niet geupdate is? Ik bedoel, houden distros dit achter?

Wat gaat er toch door mensen heen ?
Liever denken dat "distro's uitgebrachte patches voor GPL software achterhouden" dan realiseren dat ook Linux servers wel eens slecht beheerrd worden - en beheerders helemaal geen uitgebrachte distro updates installeren ?

Jeez - je mag kiezen als verklaring
1) distro's laten security patch voor internet-facing GPL'ed mailsoftware die ze packagen jaar lang liggen
2) er zijn Linux beheerders die geen distro patches op hun servers installeren (of Linux servers waar geen beheerder naar om kijkt )

Mensen die ook in de praktijk werken (en wel volgen wat distro's doen) weten dat 1 niet voorkomt en 2 wel.
Jammer.

Karma4 heeft gewoon wel (een beetje) gelijk soms - alleen het doosje (of OS) kiezen maakt je niet veilig.

Deze Exim bug heet CVE-2019-10149 .

Zie voor een paar distro's :

Debian https://security-tracker.debian.org/tracker/CVE-2019-10149
Redhat (5) https://access.redhat.com/security/cve/cve-2019-10149 (not vulnerable, leverde een andere exim versie . RH 6/7 epel - fixed exim versie 4.92 dus ook niet vulnerable)

Ubuntu
https://people.canonical.com/~ubuntu-security/cve/2019/CVE-2019-10149.html (alleen 18.04 , Bionic beaver affected. En dus Fixed . zie https://launchpad.net/ubuntu/+source/exim4/4.90.1-1ubuntu1.2/+publishinghistory

Allemaal fixes van begin juni 2019 . Had je ook zelf kunnen vinden.
Net zoals je had kunnen vinden dat de patch in juni 2019 gewoon door het exim team al uitgebracht was - hoef je niet zo wijsneuzerig te posten dat NSA een jaar later maar gauw had moeten patchen "in plaats van zeiken op de Russen".

Er zijn gewoon een hoop plaatsen waar software updates niet tijdig geinstalleerd worden. Ook Linux software heeft updates (soms) urgent nodig. En plaatsen waar niet tijdig ge-update wordt zijn niet alleen maar Microsoft shops - maar ook sommige Linux shops .

De lek was opgelost in versie 4.92 die op 10 februari verscheen. En waarom zou je de verdachte partij niet mogen aanwijzen? Die kan daar niet tegen?


Je leest niet goed, de exploits begonnen in augustus 2019, de versie die niet kwetsbaar was is van 10 februari 2020. Wanneer de exploitatie is begonnen is ook achteraf vast te stellen, dat zegt niets over hoe lang een partij het wist.

De fix was niet bekend gemaakt als security fix, daarom updaten Linux distributies hun software niet altijd.

Uh? Om maar enkele drama's te noemen ontstaan door niet updaten:

Heartbleed, Struts, Tomcat, Pulse Secure, Citrix ADC, SaltStack, ... We leren er kennelijk niets eens van (dit geldt voor veel te veel beheerders van alle soorten besturingssystemen en daarop draaiende software).

M.b.t. SaltStack:
29 april: update beschikbaar: https://docs.saltstack.com/en/latest/topics/releases/3000.2.html

1 mei: "Researchers expect the vulnerabilities to be exploited in the wild within days": https://www.zdnet.com/article/saltstack-salt-critical-bugs-allow-data-center-cloud-server-hijacking-as-root/

3 mei: "Aanvaller krijgt via Salt-lek toegang tot servers van LineageOS: https://www.security.nl/posting/655228/Aanvaller+krijgt+via+Salt-lek+toegang+tot+servers+van+LineageOS

7 mei: Cisco patcht servers maar die blijken al gehacked te zijn (vers nieuws): https://www.bleepingcomputer.com/news/security/cisco-hacked-by-exploiting-vulnerable-saltstack-servers/

Ik heb het al zo vaak gezegd: zorg dat je het meteen weet als je systemen kwetsbaar zijn. Patch onmiddellijk of zet systemen uit. Als je gehacked wordt heb je vaak meer schade dan door onbeschikbaarheid (want die heb je, na een hack, meestal ook; naast vaak andere en mogelijk aanvankelijk onbekende schade).

Geen idee. Maar als je verantwoordelijk bent voor beheer van systemen, en die worden gehacked, dan kun je natuurlijk de schuld aan de maintainers van jouw distro geven, maar zij gaan jouw schade niet vergoeden. Blijft de vraag "wat had je er zelf aan kunnen en moeten doen om een hack te voorkomen" - zeker bij internet facing systemen.

Je moet wel de Exim patch installeren, dan heeft de NSA weer alleen toegang tot de bestanden ipv iedereen.

Foutje van je : Exim 4.92 is van 10 februari 2019 .(niet feb 2020) . De advisory waarin de vulnerability van een aantal voorgaande versies bekend werd is van 3 juni 2019 .
Inderdaad heeft het Exim team niet doorgehad bij 4.92 dat ze een security issue daarin gefixed hadden dat (dus) een security issue was in eerdere releases.
Het lijkt erop dat de exploits pas begonnen na de advisory .

De distro's patchen vrijwel altijd de versie die in de release zit voor een security bug, en gaan niet de "de nieuwste upstream" als fix leveren.

Hoe dan ook - een bekende bug vanaf juni 2019, distro updates vanaf juni 2019, dan ligt het toch echt alleen maar aan beheer wanneer je daarna nog steeds vulnerable bent .

L.S.

En als de beheerders erop betrapt worden, willen ze die info ook nog graag verwijderd zien, want de directe chef zou eens in de gaten krijgen hoe incompetent ze zijn. Aan de andere kant komt het natuurlijk ook voor dat zij geen schuld dragen, maar de manager zonder technische kennis van zaken en met groot geloof in dozenschuivers bepaalt wat er met de distro moet gebeuren.

Als die laatsten over de uitrol van patches en het patch-beleid gaan, nou dan kun je nog wel het een en ander gaan opzoeken op shodan.io, vulners en via een rogue gescript XSS-DOM scannertje.

Het houdt sommigen tijdens de lock-down wel van de straat. ;) In feite te zielig voor woorden, maar je kan altijd nog de Ruzzians en Tee AAhr You EM Pee de schuld in de schoenen schuiven vanuit je verkokerde fascistische neo-Gladio mentaliteit. De Oekrainer houdt zich daar toch nooit mee bezig, ben je mal, man.

Ik moet wel even de voorgeschreven palaver willen volgen, anders plaatsen we jouw berichtgeving niet, rare Pan-Slaven-fan. Ik zie nog voor mijn ogen die foto van een bedelend getto-knaapje in Polen uit het SS-Leitheft tijdens de Barbarossa Feldzug (Drang Ost) met daarbij het onderschrift: "We hebben de inrichtingen van deze socialistische paradijzen gezien".
Er zijn er nog, die weer heimelijk naar deze heilstaat terug verlangen, G*dbetert, "ludowi wrogowie", volksvijanden, dat zijn het allemaal.

Mag ik als 70-plusser straks nog wel een openbare eetgelegenheid bezoeken of wordt ik geweerd?

Jodocus Oyevaer

Klopt!


Wot? Complottheoriedenker?

Amazon cloud valt mij continu lastig, graag ook aanpakken

Geklunkel in de hele keten van hoog tot laag en alles onder het tapijt vegen en goede mensen als dissidenten neerzetten om eigen lijfbehoud... Dat is toch van alle tijden eigenlijk. Zo'n organisaties die hun eigen belang niet meer dienen worden vroeg of laat wel door de natuur opnieuw gevormd. Ik heb het dan niet eens over algemeen belang of Westerse/ democratisch belang.

Mensen die in sprookjes geloven (als je begrijpt wat ik bedoel) moet je geen organisatie laten runnen, of dat nou middenmanagement is of de delegatie verantwoordelijk voor de regio in Nederland cq Europa. Anderen dwingen in sprookjes te geloven gaat niet echt werken (het verdoezeld failures wel natuurlijk) maar dit zal niet tot oplossingen leiden inzake concurrentie.


Een keurslijf zal nooit werken. Laat de Lemmings maar Lemmingen zijn. In een "systeem" van protocollen en M/O past geen afwijking. Daarom zal assymetrie en hybride methodiek altijd winnen.

In de tijd van Napoleon stonden de Fransen en Engelsen nog netjes tegenover elkaar in rijtjes en op commando mochten ze op elkaar schieten, wie overblijft is dan de "winnaar". Zo gaat het anno 2020 ook weer.

Daarbij is het grootste gevaar de poppetjes met informatie of zeggenschap in een veldslag die mogelijk voor den vijand werken. Weet je waar de buitenlandse spionnen zitten? Bovenop dingen als "gladio", NATO, NSA Nederland enz. Die duiken bovenop elke gewone Hollander (ik, jou) met een steeds veranderende mening als die op een bepaald moment niet uitkomt, weet je waarom? Afleiding van hun eigen allianties.

Men maakt al grapjes over "hoeveel zou het kosten om een prive NSA dienst te kopen?". Dan weet je dus genoeg. Die organisaties moet je soms een beetje tegen zichzelf beschermen. De voorspelling van een facistische leider met toegang tot alles is uitgekomen... was dat niet genoeg soms om aan de "dissidenten" en "dwarsliggers" tegemoet te komen van U hebt gelijk enz?


De valkuil is de overheid de schuld geven of takken van defensie en/of OTAN. De infiltranten in onze maatschappij willen dat graag. Misschien zitten ze zelf wel binnen V&J Bzk OTAN enz "overheid spelen" en zorgen binnen die organisaties zelf voor de ellende waar ontevreden burgers deze instituten dan van betichten.

De overheid is echt geen heilige graal. Ze moeten het ook maar hebben van mensen met expertise op de juiste plekken. Als je een beetje handig bent kun je zo overal aan de slag. Het probleem zijn diegenen die de overheid leegroven en van dat geld media beinvloeden om sentimenten tegen die overheid aan te wakkeren.


Overigens werkt de loyaliteit hier heel erg 1 kant op. Als je ook maar iets voor dit land hebt gedaan mag je op zijn minst loyaliteit naar jou verwachten. Als je een bijv een Amerikaans paspoort hebt en je zit vast in een vreemd land dan vallen ze dat land nog in. Die Amerikanen kunnen dat dus wel. Was men maar wat eerlijker.