NCSC verhoogt dreiging van OpenSSL-lek na verschijnen van exploitcode
Het Nationaal Cyber Security Centrum (NCSC) heeft de dreiging van een kwetsbaarheid in OpenSSL verhoogd nadat proof-of-concept exploitcode online is verschenen. De kans dat aanvallers op korte termijn misbruik van het beveiligingslek zullen maken met grote schade tot gevolg is groot.
Via het beveiligingslek kan een aanvaller servers laten crashen en zo een denial of service veroorzaken. OpenSSL behoort tot de meest gebruikte software voor het versleutelen van internetverbindingen. Websites maken er bijvoorbeeld gebruik van om het verkeer van en naar bezoekers te versleutelen. Kwetsbaarheden in OpenSSL kunnen zeer grote gevolgen voor het internet hebben, zo heeft de Heartbleed Bug in het verleden aangetoond.
Donderdag kwam OpenSSL met een beveiligingsupdate voor twee kwetsbaarheden, aangeduid als CVE-2021-3449 en CVE-2021-3450. De eerste kwetsbaarheid doet zich voor bij het opzetten van een beveiligde verbinding tussen een client en server. Een aanvaller kan door het versturen van een malafide renegotiation ClientHello message naar een OpenSSL TLS-server een crash veroorzaken wat tot een denial of service leidt.
Voor deze kwetsbaarheid is nu proof-of-concept exploitcode verschenen wat aanvallers kan helpen bij het aanvallen van kwetsbare servers. "Uit onderzoek is gebleken dat CVE-2021-3449 gemitigeerd kan worden door secure renegotiation uit te schakelen. Dit heeft echter als negatief gevolg dat 'insecure renegotiation' daarmee als enige variant overblijft. Het NCSC raadt het gebruik van insecure renegotiation af", zo laat de overheidsinstantie weten. Die voegt toe dat na het installeren van de update, in sommige gevallen een herstart van de server nodig is om de kwetsbaarheden volledig te verhelpen.
Reacties (28)
Een dos is vervelend maar nou niet bepaald een h/h status waard lijkt mij, of verwachten we nog exploits waarbij gegevens gestolen kunnen worden of servers binnengedrongen kunnen worden?
Door Anoniem: Een dos is vervelend maar nou niet bepaald een h/h status waard lijkt mij, of verwachten we nog exploits waarbij gegevens gestolen kunnen worden of servers binnengedrongen kunnen worden?
Het NCSC schaalt dit hetzelfde in als Exchange h/h en dat is natuurlijk belachelijk. Een dos is geen high
27-03-2021, 16:12 door
walmare
De fix door Nokia was wel heel makkelijk. 1 regel code. https://github.com/openssl/openssl/commit/fb9fa6b51defd48157eeb207f52181f735d96148
In dit soort software hoor je altijd een null pointer validatie te doen vind ik.
De CVSS v3 Base score is 5.9 Belangrijk genoeg om niet te lang te wachten met de fix.
In dit soort software hoor je altijd een null pointer validatie te doen vind ik.
De CVSS v3 Base score is 5.9 Belangrijk genoeg om niet te lang te wachten met de fix.
Door Anoniem: Een dos is vervelend maar nou niet bepaald een h/h status waard lijkt mij, of verwachten we nog exploits waarbij gegevens gestolen kunnen worden of servers binnengedrongen kunnen worden?
NCSC is 1 van de bronnen waarbij overheid of semi overheid zich aan moet conformeren. Wat jij ook aangeeft een DOS is geen High/High in jouw ogen. maar dit kan voor een systeem die bijvoorbeeld sluizen moet beheren (ik zeg maar wat) dus wel leiden tot een incident waarbij kamer vragen gesteld kunnen worden. Daarom is het voor die organisaties wel een High/High. Je moet het dus niet alleen vanuit de techniek bekijken, maar ook van uit de wet en regelgeving en politiek. Wat als het gaat om een systeem dat verplicht online hoort te zijn met gegevens van bijvoorbeeld kaarten van het waternet of gasleidingen etc. Het niet beschikbaar hebben daarvan kan dus als gevolg hebben dat er incidenten zijn. Het niet beschikbaar hebben van bepaalde informatie zou dus ook kunnen leiden tot een verplichte melding bij het AP.
De High/High is dus niet alleen op techniek gebaseerd maar er zit dus ook een stuk wet en regelgeving en politiek bij.
Door Anoniem: Een dos is vervelend maar nou niet bepaald een h/h status waard lijkt mij, of verwachten we nog exploits waarbij gegevens gestolen kunnen worden of servers binnengedrongen kunnen worden?
Inderdaad ik vind het ook overdreven. Als men bij iedere smeulende sigaret "brand! brand!" roept dan luistert er niemand meer als er echt wat aan de hand is.Laat men dat nou reserveren voor exploits die remote code execution kunnen veroorzaken (op je server), dan weet je tenminste dat er haast geboden is.
Door Anoniem:
Door Anoniem: Een dos is vervelend maar nou niet bepaald een h/h status waard lijkt mij, of verwachten we nog exploits waarbij gegevens gestolen kunnen worden of servers binnengedrongen kunnen worden?
Het NCSC schaalt dit hetzelfde in als Exchange h/h en dat is natuurlijk belachelijk. Een dos is geen highEen low-cost remote DoS kan echt wel een urgent probleem zijn.
OpenSSL draait niet alleen maar op 'kijk mijn rPI eens cool zijn' sites die iedereen inclusief de eigenaar wel een week kan missen.
Door Anoniem:
Een low-cost remote DoS kan echt wel een urgent probleem zijn.
Dat is wat anders maar nu bevindt het zich op hetzelfde niveau als de zero-day van Exchange en dat is niet handig als je keuzes moet maken. High is ok als een probleem als Exchange Critical zou zijn.Door Anoniem:
Door Anoniem: Een dos is vervelend maar nou niet bepaald een h/h status waard lijkt mij, of verwachten we nog exploits waarbij gegevens gestolen kunnen worden of servers binnengedrongen kunnen worden?
Het NCSC schaalt dit hetzelfde in als Exchange h/h en dat is natuurlijk belachelijk. Een dos is geen highEen low-cost remote DoS kan echt wel een urgent probleem zijn.
NU wordt alles op 1 hoop gegooid en dat is niet slim. Wat zou daar de reden van zijn?
Door Anoniem:
Laat men dat nou reserveren voor exploits die remote code execution kunnen veroorzaken (op je server), dan weet je tenminste dat er haast geboden is.
Door Anoniem: Een dos is vervelend maar nou niet bepaald een h/h status waard lijkt mij, of verwachten we nog exploits waarbij gegevens gestolen kunnen worden of servers binnengedrongen kunnen worden?
Inderdaad ik vind het ook overdreven. Als men bij iedere smeulende sigaret "brand! brand!" roept dan luistert er niemand meer als er echt wat aan de hand is.Laat men dat nou reserveren voor exploits die remote code execution kunnen veroorzaken (op je server), dan weet je tenminste dat er haast geboden is.
Dit ligt er geheel aan, ik vind deze reacties wat kort door de bocht. Wanneer jouw bank / overheid website(s) weer eens een paar uur niet beschikbaar is vanwege een DoS zullen de meeste mensen weer lopen piepen en klagen.
Wanneer je de severity berekend aan de hand van likelihood en impact, denk ik dat de likelihood toch (minimaal) wel medium is (er is exploit code beschikbaar) en de impact op dienst verlening zullen de meeste bedrijven toch wel zien als high.
Op basis van bovenstaande gegevens zal de severity toch echt high zijn.
Een veiligheidsrisico score zou niet gebaseerd mogen worden op of er publieke PoC code te vinden is of niet. Als de exploit mogelijk is moet er vanuit gegaan worden dat er vrij snel een manier wordt gezocht om deze uit te buiten, zowel door hackers die het publiek posten maar ook door hackers die dat niet doen.
Door Anoniem:
Dit ligt er geheel aan, ik vind deze reacties wat kort door de bocht. Wanneer jouw bank / overheid website(s) weer eens een paar uur niet beschikbaar is vanwege een DoS zullen de meeste mensen weer lopen piepen en klagen.
Door Anoniem:
Laat men dat nou reserveren voor exploits die remote code execution kunnen veroorzaken (op je server), dan weet je tenminste dat er haast geboden is.
Door Anoniem: Een dos is vervelend maar nou niet bepaald een h/h status waard lijkt mij, of verwachten we nog exploits waarbij gegevens gestolen kunnen worden of servers binnengedrongen kunnen worden?
Inderdaad ik vind het ook overdreven. Als men bij iedere smeulende sigaret "brand! brand!" roept dan luistert er niemand meer als er echt wat aan de hand is.Laat men dat nou reserveren voor exploits die remote code execution kunnen veroorzaken (op je server), dan weet je tenminste dat er haast geboden is.
Dit ligt er geheel aan, ik vind deze reacties wat kort door de bocht. Wanneer jouw bank / overheid website(s) weer eens een paar uur niet beschikbaar is vanwege een DoS zullen de meeste mensen weer lopen piepen en klagen.
LEES nou toch eerst eens voor dat je reageert!
Het gaat er NIET om of dat dit probleem misbruikt kan worden om je site plat te leggen.
Het gaat er om of dit probleem zo ernstig is dat je meteen in actie moet komen om blijvende problemen te voorkomen, of dat het goed genoeg is om er naar te kijken als er gelegenheid voor is en/of als zich een probleem voordoet.
Mocht de site plat zijn gegaan voor je die gelegenheid hebt dan heb je het in een minuut opgelost dus niet overdrijven graag.
Mocht dat niet passen in een of ander standaard rekenmodel dan zou ik dat rekenmodel graag aangepast zien.
Voor mij, en ik denk voor velen, is er wel degelijk een verschil in impact tussen DoS en RCE.
Is dat er nu niet, dan moeten ze dat maken!
Door Anoniem:
Dit ligt er geheel aan, ik vind deze reacties wat kort door de bocht. Wanneer jouw bank / overheid website(s) weer eens een paar uur niet beschikbaar is vanwege een DoS zullen de meeste mensen weer lopen piepen en klagen.
Wanneer je de severity berekend aan de hand van likelihood en impact, denk ik dat de likelihood toch (minimaal) wel medium is (er is exploit code beschikbaar) en de impact op dienst verlening zullen de meeste bedrijven toch wel zien als high.
Op basis van bovenstaande gegevens zal de severity toch echt high zijn.
Er is een groot verschil tussen of mijn bank even niet bereikbaar is of dat mijn bank gehackt is door een foute Exchange server met dezelfde high! In het laatste geval weet ik dat ik beter mijn geld weg kan halen zolang het nog kan.Door Anoniem:
Laat men dat nou reserveren voor exploits die remote code execution kunnen veroorzaken (op je server), dan weet je tenminste dat er haast geboden is.
Door Anoniem: Een dos is vervelend maar nou niet bepaald een h/h status waard lijkt mij, of verwachten we nog exploits waarbij gegevens gestolen kunnen worden of servers binnengedrongen kunnen worden?
Inderdaad ik vind het ook overdreven. Als men bij iedere smeulende sigaret "brand! brand!" roept dan luistert er niemand meer als er echt wat aan de hand is.Laat men dat nou reserveren voor exploits die remote code execution kunnen veroorzaken (op je server), dan weet je tenminste dat er haast geboden is.
Dit ligt er geheel aan, ik vind deze reacties wat kort door de bocht. Wanneer jouw bank / overheid website(s) weer eens een paar uur niet beschikbaar is vanwege een DoS zullen de meeste mensen weer lopen piepen en klagen.
Wanneer je de severity berekend aan de hand van likelihood en impact, denk ik dat de likelihood toch (minimaal) wel medium is (er is exploit code beschikbaar) en de impact op dienst verlening zullen de meeste bedrijven toch wel zien als high.
Op basis van bovenstaande gegevens zal de severity toch echt high zijn.
Door Anoniem: Een veiligheidsrisico score zou niet gebaseerd mogen worden op of er publieke PoC code te vinden is of niet. Als de exploit mogelijk is moet er vanuit gegaan worden dat er vrij snel een manier wordt gezocht om deze uit te buiten, zowel door hackers die het publiek posten maar ook door hackers die dat niet doen.
Goed punt!
Door Anoniem:
Dit ligt er geheel aan, ik vind deze reacties wat kort door de bocht. Wanneer jouw bank / overheid website(s) weer eens een paar uur niet beschikbaar is vanwege een DoS zullen de meeste mensen weer lopen piepen en klagen.
Wanneer je de severity berekend aan de hand van likelihood en impact, denk ik dat de likelihood toch (minimaal) wel medium is (er is exploit code beschikbaar) en de impact op dienst verlening zullen de meeste bedrijven toch wel zien als high.
Op basis van bovenstaande gegevens zal de severity toch echt high zijn.
Er zit een heel groot verschil tussen Impact op dienstverlening door dos of door zelf gehackt te zijn. In die zin is een dos geen High omdat critical niet bestaat bij het NCSCDoor Anoniem:
Laat men dat nou reserveren voor exploits die remote code execution kunnen veroorzaken (op je server), dan weet je tenminste dat er haast geboden is.
Door Anoniem: Een dos is vervelend maar nou niet bepaald een h/h status waard lijkt mij, of verwachten we nog exploits waarbij gegevens gestolen kunnen worden of servers binnengedrongen kunnen worden?
Inderdaad ik vind het ook overdreven. Als men bij iedere smeulende sigaret "brand! brand!" roept dan luistert er niemand meer als er echt wat aan de hand is.Laat men dat nou reserveren voor exploits die remote code execution kunnen veroorzaken (op je server), dan weet je tenminste dat er haast geboden is.
Dit ligt er geheel aan, ik vind deze reacties wat kort door de bocht. Wanneer jouw bank / overheid website(s) weer eens een paar uur niet beschikbaar is vanwege een DoS zullen de meeste mensen weer lopen piepen en klagen.
Wanneer je de severity berekend aan de hand van likelihood en impact, denk ik dat de likelihood toch (minimaal) wel medium is (er is exploit code beschikbaar) en de impact op dienst verlening zullen de meeste bedrijven toch wel zien als high.
Op basis van bovenstaande gegevens zal de severity toch echt high zijn.
Ik denk dat NCSC en anderen die een bevinding delen geen impact moeten voorschrijven. Dat is geheel afhankelijk van de gebruiker/kwetsbare partij.
Overheid intern zou een dienst kunnen opzetten om dit intern te classificeren. Maar pentesters doen hetzelfde. Een bevinding classificeren zijn direct.
Ook Exchange probleem werd als mega groot omschreven, maar niemand ging eerst kijken hoe groot het nu daadwerkelijk was voor de organisatie zelf.
Overheid intern zou een dienst kunnen opzetten om dit intern te classificeren. Maar pentesters doen hetzelfde. Een bevinding classificeren zijn direct.
Ook Exchange probleem werd als mega groot omschreven, maar niemand ging eerst kijken hoe groot het nu daadwerkelijk was voor de organisatie zelf.
28-03-2021, 16:17 door
karma4
Door Anoniem: Er is een groot verschil tussen of mijn bank even niet bereikbaar is of dat mijn bank gehackt is door een foute Exchange server met dezelfde high! In het laatste geval weet ik dat ik beter mijn geld weg kan halen zolang het nog kan.
Als het hele betalingsverkeer onderuit gaat omdat ergens een server er tussenuit gaat dan is de impact gigantischEen exchange server die een lokaal kantoor platlegt dat men toch al wilde sluiten heeft nauwelijks impact.
De werkelijke impact is lastig aan enkel een stukje code in te schatten.
Je zult maar een router hebben die bij een overdaad aan verbindingen willekeurig gaat staan te kappen. Er gaat niet eens wat echt fout behalve dikke commotie en grote paniek omdat de continuïteit verstoord is.
Door Anoniem:
LEES nou toch eerst eens voor dat je reageert!
Het gaat er NIET om of dat dit probleem misbruikt kan worden om je site plat te leggen.
Het gaat er om of dit probleem zo ernstig is dat je meteen in actie moet komen om blijvende problemen te voorkomen, of dat het goed genoeg is om er naar te kijken als er gelegenheid voor is en/of als zich een probleem voordoet.
Mocht de site plat zijn gegaan voor je die gelegenheid hebt dan heb je het in een minuut opgelost dus niet overdrijven graag.
Door Anoniem:
Dit ligt er geheel aan, ik vind deze reacties wat kort door de bocht. Wanneer jouw bank / overheid website(s) weer eens een paar uur niet beschikbaar is vanwege een DoS zullen de meeste mensen weer lopen piepen en klagen.
Door Anoniem:
Laat men dat nou reserveren voor exploits die remote code execution kunnen veroorzaken (op je server), dan weet je tenminste dat er haast geboden is.
Door Anoniem: Een dos is vervelend maar nou niet bepaald een h/h status waard lijkt mij, of verwachten we nog exploits waarbij gegevens gestolen kunnen worden of servers binnengedrongen kunnen worden?
Inderdaad ik vind het ook overdreven. Als men bij iedere smeulende sigaret "brand! brand!" roept dan luistert er niemand meer als er echt wat aan de hand is.Laat men dat nou reserveren voor exploits die remote code execution kunnen veroorzaken (op je server), dan weet je tenminste dat er haast geboden is.
Dit ligt er geheel aan, ik vind deze reacties wat kort door de bocht. Wanneer jouw bank / overheid website(s) weer eens een paar uur niet beschikbaar is vanwege een DoS zullen de meeste mensen weer lopen piepen en klagen.
LEES nou toch eerst eens voor dat je reageert!
Het gaat er NIET om of dat dit probleem misbruikt kan worden om je site plat te leggen.
Het gaat er om of dit probleem zo ernstig is dat je meteen in actie moet komen om blijvende problemen te voorkomen, of dat het goed genoeg is om er naar te kijken als er gelegenheid voor is en/of als zich een probleem voordoet.
Mocht de site plat zijn gegaan voor je die gelegenheid hebt dan heb je het in een minuut opgelost dus niet overdrijven graag.
Je blijft maar begatelliseren dat je voor een (simpel uit te voeren) DoS geen haast hoeft te maken met een patch.
Mocht dat niet passen in een of ander standaard rekenmodel dan zou ik dat rekenmodel graag aangepast zien.
Voor mij, en ik denk voor velen, is er wel degelijk een verschil in impact tussen DoS en RCE.
Is dat er nu niet, dan moeten ze dat maken!
Prima dat voor jouw sites (en appliances ? Er draait maar op OpenSSL dan alleen HTTPS) uptime niet uit maakt.
Het maakt je leven beslist erg makkelijk.
Ik vind het niet zo'n probleem dat er geen onderscheid zit tussen heel erg en nog veel erger.
Als een beheersorganisatie zelf wil afschalen voor hun situatie doen ze dat zelf.
28-03-2021, 21:02 door
walmare
Door karma4:
Een exchange server die een lokaal kantoor platlegt dat men toch al wilde sluiten heeft nauwelijks impact.
De werkelijke impact is lastig aan enkel een stukje code in te schatten.
Je zult maar een router hebben die bij een overdaad aan verbindingen willekeurig gaat staan te kappen. Er gaat niet eens wat echt fout behalve dikke commotie en grote paniek omdat de continuïteit verstoord is.
De impact is pas gigantisch als de bank gehackt zou zijn door een exchange zero day probleem die NCSC high vindt omdat critical niet bestaat. Jij probeert het exchange voorbeeld alleen maar te downplayen, daar zal je wel eeb reden voor hebben.Door Anoniem: Er is een groot verschil tussen of mijn bank even niet bereikbaar is of dat mijn bank gehackt is door een foute Exchange server met dezelfde high! In het laatste geval weet ik dat ik beter mijn geld weg kan halen zolang het nog kan.
Als het hele betalingsverkeer onderuit gaat omdat ergens een server er tussenuit gaat dan is de impact gigantischEen exchange server die een lokaal kantoor platlegt dat men toch al wilde sluiten heeft nauwelijks impact.
De werkelijke impact is lastig aan enkel een stukje code in te schatten.
Je zult maar een router hebben die bij een overdaad aan verbindingen willekeurig gaat staan te kappen. Er gaat niet eens wat echt fout behalve dikke commotie en grote paniek omdat de continuïteit verstoord is.
Het is een "advisory". Een advies dus. En niemand wordt onder schot gehouden door het NCSC om de patch door te voeren. Maar het NCSC doet het ook nooit goed hier op deze site he ? Een advisory wordt met grote terughoudendheid op H/H ingeschaald. De uiteindelijke afweging is voor de organisatie zelf. Die weet uiteindelijk (hopelijk) hoe zijn infrastructuur in elkaar zit.
Door Anoniem:
Je blijft maar begatelliseren dat je voor een (simpel uit te voeren) DoS geen haast hoeft te maken met een patch.
Mocht dat niet passen in een of ander standaard rekenmodel dan zou ik dat rekenmodel graag aangepast zien.
Voor mij, en ik denk voor velen, is er wel degelijk een verschil in impact tussen DoS en RCE.
Is dat er nu niet, dan moeten ze dat maken!
Prima dat voor jouw sites (en appliances ? Er draait maar op OpenSSL dan alleen HTTPS) uptime niet uit maakt.
Het maakt je leven beslist erg makkelijk.
Ik vind het niet zo'n probleem dat er geen onderscheid zit tussen heel erg en nog veel erger.
Als een beheersorganisatie zelf wil afschalen voor hun situatie doen ze dat zelf.
Ik ben het met hem eens. Kan voor de meeste beheerders in de reguliere patchronde mee. Het verschil zit'm in de statistiek. Zodat men de criticals (elke maand dezelfde software) kan bagatelliseren.Door Anoniem:
LEES nou toch eerst eens voor dat je reageert!
Het gaat er NIET om of dat dit probleem misbruikt kan worden om je site plat te leggen.
Het gaat er om of dit probleem zo ernstig is dat je meteen in actie moet komen om blijvende problemen te voorkomen, of dat het goed genoeg is om er naar te kijken als er gelegenheid voor is en/of als zich een probleem voordoet.
Mocht de site plat zijn gegaan voor je die gelegenheid hebt dan heb je het in een minuut opgelost dus niet overdrijven graag.
Door Anoniem:
Dit ligt er geheel aan, ik vind deze reacties wat kort door de bocht. Wanneer jouw bank / overheid website(s) weer eens een paar uur niet beschikbaar is vanwege een DoS zullen de meeste mensen weer lopen piepen en klagen.
Door Anoniem:
Laat men dat nou reserveren voor exploits die remote code execution kunnen veroorzaken (op je server), dan weet je tenminste dat er haast geboden is.
Door Anoniem: Een dos is vervelend maar nou niet bepaald een h/h status waard lijkt mij, of verwachten we nog exploits waarbij gegevens gestolen kunnen worden of servers binnengedrongen kunnen worden?
Inderdaad ik vind het ook overdreven. Als men bij iedere smeulende sigaret "brand! brand!" roept dan luistert er niemand meer als er echt wat aan de hand is.Laat men dat nou reserveren voor exploits die remote code execution kunnen veroorzaken (op je server), dan weet je tenminste dat er haast geboden is.
Dit ligt er geheel aan, ik vind deze reacties wat kort door de bocht. Wanneer jouw bank / overheid website(s) weer eens een paar uur niet beschikbaar is vanwege een DoS zullen de meeste mensen weer lopen piepen en klagen.
LEES nou toch eerst eens voor dat je reageert!
Het gaat er NIET om of dat dit probleem misbruikt kan worden om je site plat te leggen.
Het gaat er om of dit probleem zo ernstig is dat je meteen in actie moet komen om blijvende problemen te voorkomen, of dat het goed genoeg is om er naar te kijken als er gelegenheid voor is en/of als zich een probleem voordoet.
Mocht de site plat zijn gegaan voor je die gelegenheid hebt dan heb je het in een minuut opgelost dus niet overdrijven graag.
Je blijft maar begatelliseren dat je voor een (simpel uit te voeren) DoS geen haast hoeft te maken met een patch.
Mocht dat niet passen in een of ander standaard rekenmodel dan zou ik dat rekenmodel graag aangepast zien.
Voor mij, en ik denk voor velen, is er wel degelijk een verschil in impact tussen DoS en RCE.
Is dat er nu niet, dan moeten ze dat maken!
Prima dat voor jouw sites (en appliances ? Er draait maar op OpenSSL dan alleen HTTPS) uptime niet uit maakt.
Het maakt je leven beslist erg makkelijk.
Ik vind het niet zo'n probleem dat er geen onderscheid zit tussen heel erg en nog veel erger.
Als een beheersorganisatie zelf wil afschalen voor hun situatie doen ze dat zelf.
Door Anoniem:
Je blijft maar begatelliseren dat je voor een (simpel uit te voeren) DoS geen haast hoeft te maken met een patch.
En met reden! Er is een ENORM verschil tussen een RCE waarbij een aanvaller alleen even een scan van de heleJe blijft maar begatelliseren dat je voor een (simpel uit te voeren) DoS geen haast hoeft te maken met een patch.
internet adresspace hoeft te doen en overal zijn webshells en andere backdoors planten om daar vervolgens later op
terug te kunnen komen en de echte aanval plegen, en een DoS waarbij de aanvaller alle sites die hij wil platleggen
voortdurend onder schot moet houden en er geen permanente schade is. En waarbij de beheerder de situatie ALS
die zich voordoet met 1 update commando kan oplossen.
Als je dat niet inziet kan ik dat ook niet helpen.
Door Anoniem: Het is een "advisory". Een advies dus. En niemand wordt onder schot gehouden door het NCSC om de patch door te voeren. Maar het NCSC doet het ook nooit goed hier op deze site he ? Een advisory wordt met grote terughoudendheid op H/H ingeschaald. De uiteindelijke afweging is voor de organisatie zelf. Die weet uiteindelijk (hopelijk) hoe zijn infrastructuur in elkaar zit.
Het is een advies waar managers mee aan de haal gaan. Wij zijn hier nog bezig met exchange problemen en vervolgens moeten we hier ook onmiddellijk naar kijken want advies.... Daarnaast zijn kernels regelmatig ook belangrijkyc maar daar hebben ze het niet over.Door Anoniem:
internet adresspace hoeft te doen en overal zijn webshells en andere backdoors planten om daar vervolgens later op
terug te kunnen komen en de echte aanval plegen, en een DoS waarbij de aanvaller alle sites die hij wil platleggen
voortdurend onder schot moet houden en er geen permanente schade is. En waarbij de beheerder de situatie ALS
die zich voordoet met 1 update commando kan oplossen.
Als je dat niet inziet kan ik dat ook niet helpen.
Door Anoniem:
Je blijft maar begatelliseren dat je voor een (simpel uit te voeren) DoS geen haast hoeft te maken met een patch.
En met reden! Er is een ENORM verschil tussen een RCE waarbij een aanvaller alleen even een scan van de heleJe blijft maar begatelliseren dat je voor een (simpel uit te voeren) DoS geen haast hoeft te maken met een patch.
internet adresspace hoeft te doen en overal zijn webshells en andere backdoors planten om daar vervolgens later op
terug te kunnen komen en de echte aanval plegen, en een DoS waarbij de aanvaller alle sites die hij wil platleggen
voortdurend onder schot moet houden en er geen permanente schade is. En waarbij de beheerder de situatie ALS
die zich voordoet met 1 update commando kan oplossen.
Als je dat niet inziet kan ik dat ook niet helpen.
Je blijft alleen maar denken vanuit je eigen achtergrond waarin een triviale DoS blijkbaar geen aandacht behoeft.
En je knipt lekker weg waar ik zeg dat "heel erg" en "nog veel erger" dan maar clippen in dezelfde categorie.
We hebben ook geen windkracht 13 .
Dat kan prima zo zijn, en je mag je eigen keus maken om deze advisory *voor jouw organisatie* te downscalen.
Ik vind het terecht dat deze 'high' haalt, en beheerders die nu van hun management aan het werk moeten, moeten dan maar aan het werk - of hun management uitleggen waarom in hun geval ze deze op de stapel leggen van 'doen we ooit later wel, ik ben nu met andere dingen bezig" .
Door Anoniem:
Door Anoniem: Het is een "advisory". Een advies dus. En niemand wordt onder schot gehouden door het NCSC om de patch door te voeren. Maar het NCSC doet het ook nooit goed hier op deze site he ? Een advisory wordt met grote terughoudendheid op H/H ingeschaald. De uiteindelijke afweging is voor de organisatie zelf. Die weet uiteindelijk (hopelijk) hoe zijn infrastructuur in elkaar zit.
Het is een advies waar managers mee aan de haal gaan. Wij zijn hier nog bezig met exchange problemen en vervolgens moeten we hier ook onmiddellijk naar kijken want advies.... Daarnaast zijn kernels regelmatig ook belangrijkyc maar daar hebben ze het niet over.Verschrikkelijk he, dat je moet werken als je aan het werk bent .
Door Anoniem: Kijk naar het suezkanaal....ik zie veel overeenkomsten...
Vorige Suez grote storing : 1975 .
Vorige OpenSSL 'high' : 8 december 2020 , 21 april 2020 , 16 februari 2017 (etc)
(en nog veel meer moderates)
Juist ja ...
Door Anoniem:
internet adresspace hoeft te doen en overal zijn webshells en andere backdoors planten om daar vervolgens later op
terug te kunnen komen en de echte aanval plegen, en een DoS waarbij de aanvaller alle sites die hij wil platleggen
voortdurend onder schot moet houden en er geen permanente schade is. En waarbij de beheerder de situatie ALS
die zich voordoet met 1 update commando kan oplossen.
Als je dat niet inziet kan ik dat ook niet helpen.
Ik ben het roerend met je eens. Het is helaas tegen dovemansoren gericht. Mensen die zeggen dat dit moet worden ge-upscaled tot het exchange voorbeeld voeren een hidden statistiekagenda.Door Anoniem:
Je blijft maar begatelliseren dat je voor een (simpel uit te voeren) DoS geen haast hoeft te maken met een patch.
En met reden! Er is een ENORM verschil tussen een RCE waarbij een aanvaller alleen even een scan van de heleJe blijft maar begatelliseren dat je voor een (simpel uit te voeren) DoS geen haast hoeft te maken met een patch.
internet adresspace hoeft te doen en overal zijn webshells en andere backdoors planten om daar vervolgens later op
terug te kunnen komen en de echte aanval plegen, en een DoS waarbij de aanvaller alle sites die hij wil platleggen
voortdurend onder schot moet houden en er geen permanente schade is. En waarbij de beheerder de situatie ALS
die zich voordoet met 1 update commando kan oplossen.
Als je dat niet inziet kan ik dat ook niet helpen.
Door Anoniem:
Vorige Suez grote storing : 1975 .
Vorige OpenSSL 'high' : 8 december 2020 , 21 april 2020 , 16 februari 2017 (etc)
(en nog veel meer moderates)
Juist ja ...
het is geen bug, maar een ongedocumenteerde optie !Door Anoniem: Kijk naar het suezkanaal....ik zie veel overeenkomsten...
Vorige Suez grote storing : 1975 .
Vorige OpenSSL 'high' : 8 december 2020 , 21 april 2020 , 16 februari 2017 (etc)
(en nog veel meer moderates)
Juist ja ...
Een aanvaller kan door het versturen van een malafide renegotiation ClientHello message naar een OpenSSL TLS-server een crash veroorzaken wat tot een denial of service leidt.
Hoe zit het dan met TLS1_3 ? Voor deze versie is Secure Renegotiation not supported of nutteloos eigenlijk (rfc5746)Verder zie ik dat de bug voor Google niet high is en de zoekmachine nog steeds bereikbaar is :)
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
