Overheid VS moet GitLab- en Exchange-lekken voor 1 december patchen
Amerikaanse federale overheidsinstanties moeten verschillende actief aangevallen kwetsbaarheden in Exchange, Excel, GitLab en Windows voor 1 december van dit jaar patchen, zo heeft het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security bepaald.
Het CISA gaf begin november een zogenoemde "Binding Operational Directive" af om het risico van actief misbruikte, bekende kwetsbaarheden te verminderen. De overheidsinstantie kwam met een lijst van 291 beveiligingslekken die binnen een bepaalde tijd moeten zijn verholpen. Voor de honderd actief aangevallen kwetsbaarheden die dit jaar zijn gevonden geldt een deadline van twee weken, die gisteren afliep.
In het geval van 176 beveiligingslekken die van voor 2021 dateren krijgen federale overheidsinstanties zes maanden de tijd, en moeten de betreffende beveiligingsupdates uiterlijk op 3 mei 2022 zijn geïnstalleerd. De vijftien resterende lekken hadden al via eerder afgegeven directives moeten zijn gepatcht. De lijst is nu met vier actief aangevallen kwetsbaarheden uitgebreid.
Het gaat om CVE-2021-22204, een kwetsbaarheid in ExifTool waarmee kwetsbare GitLab-installaties worden aangevallen, CVE-2021-40449 (Windows), CVE-2021-42292 (Microsoft Excel) en CVE-2021-42321 (Microsoft Exchange Server). Deze kwetsbaarheden moeten voor 1 december zijn verholpen. Federale overheidsinstanties zijn daarnaast verplicht om hun vorderingen met betrekking tot het uitrollen van de beveiligingsupdates te rapporteren.
Reacties (14)
Amerikaanse federale overheidsinstanties moeten verschillende actief aangevallen kwetsbaarheden in Exchange, Excel, GitLab en Windows voor 1 december van dit jaar patchen, zo heeft het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security bepaald.
Nou, ik wens ze veel sterkte en succes daarmee! Want al is de patch nog zo snel, Windows mal- en ransomware achterhaalt 'm wel. Als ze het ene patchen dan valt het andere om. Typisch voor een spaghetticodebouwwerk.
Die GitLab fix daarentegen is waarschijnlijk triviaal.
18-11-2021, 11:38 door
_R0N_
Door Toje Fos:
Nou, ik wens ze veel sterkte en succes daarmee! Want al is de patch nog zo snel, Windows mal- en ransomware achterhaalt 'm wel. Als ze het ene patchen dan valt het andere om. Typisch voor een spaghetticodebouwwerk.
Die GitLab fix daarentegen is waarschijnlijk triviaal.
Amerikaanse federale overheidsinstanties moeten verschillende actief aangevallen kwetsbaarheden in Exchange, Excel, GitLab en Windows voor 1 december van dit jaar patchen, zo heeft het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security bepaald.
Nou, ik wens ze veel sterkte en succes daarmee! Want al is de patch nog zo snel, Windows mal- en ransomware achterhaalt 'm wel. Als ze het ene patchen dan valt het andere om. Typisch voor een spaghetticodebouwwerk.
Die GitLab fix daarentegen is waarschijnlijk triviaal.
Kijk dit is precies waarom het zo vaak mis gaat.
Nee die Gitlab patch is niet triviaal maar net zo belangrijk.
Net als deze https://arstechnica.com/gadgets/2021/11/dan-kaminskys-dns-cache-poisoning-attack-is-back-from-the-dead-again/
Maar de fanatieke Linux aanhangers hebben oogkleppen op.
Het is toch bijzonder te noemen dat onze orakel Toje (met zogenaamd een eigen bedrijf, haha) wel altijd precies weet dat Microsoft patchen te relateren zijn aan spaghetticode en dat andere fixes triviaal zijn en Linux noooooooit te maken heeft gehad met een security probleem.
Het laat weer eens zien hoe competent hij is zullen we maar zeggen.
Het laat weer eens zien hoe competent hij is zullen we maar zeggen.
18-11-2021, 12:56 door
walmare
Door _R0N_:
Kijk dit is precies waarom het zo vaak mis gaat.
Nee die Gitlab patch is niet triviaal maar net zo belangrijk.
Net als deze https://arstechnica.com/gadgets/2021/11/dan-kaminskys-dns-cache-poisoning-attack-is-back-from-the-dead-again/
Maar de fanatieke Linux aanhangers hebben oogkleppen op.
Die gitlab patch is alleen belangrijk als de overheid deze on premise zelf heeft geïnstalleerd. Blijkbaar hebben ze afscheid genomen van Github sinds microsoft eigenaar is geworden?Door Toje Fos:
Nou, ik wens ze veel sterkte en succes daarmee! Want al is de patch nog zo snel, Windows mal- en ransomware achterhaalt 'm wel. Als ze het ene patchen dan valt het andere om. Typisch voor een spaghetticodebouwwerk.
Die GitLab fix daarentegen is waarschijnlijk triviaal.
Amerikaanse federale overheidsinstanties moeten verschillende actief aangevallen kwetsbaarheden in Exchange, Excel, GitLab en Windows voor 1 december van dit jaar patchen, zo heeft het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security bepaald.
Nou, ik wens ze veel sterkte en succes daarmee! Want al is de patch nog zo snel, Windows mal- en ransomware achterhaalt 'm wel. Als ze het ene patchen dan valt het andere om. Typisch voor een spaghetticodebouwwerk.
Die GitLab fix daarentegen is waarschijnlijk triviaal.
Kijk dit is precies waarom het zo vaak mis gaat.
Nee die Gitlab patch is niet triviaal maar net zo belangrijk.
Net als deze https://arstechnica.com/gadgets/2021/11/dan-kaminskys-dns-cache-poisoning-attack-is-back-from-the-dead-again/
Maar de fanatieke Linux aanhangers hebben oogkleppen op.
Jammer voor jou poging maar mijn Linux desktop is hier 100% niet vatbaar voor (ik kan niet gepinged worden en ben geen dns service provider). Windows werkplekken lopen wel veel meer gevaar omdat internet sites gespoofed kunnen worden en windows zo vatbaar is voor drive-by download infecties. De meeste DNS servers draaien namelijk Linux (ook met een reden).
18-11-2021, 14:19 door
_R0N_
Door walmare:
Jammer voor jou poging maar mijn Linux desktop is hier 100% niet vatbaar voor (ik kan niet gepinged worden en ben geen dns service provider). Windows werkplekken lopen wel veel meer gevaar omdat internet sites gespoofed kunnen worden en windows zo vatbaar is voor drive-by download infecties. De meeste DNS servers draaien namelijk Linux (ook met een reden).
Door _R0N_:
Kijk dit is precies waarom het zo vaak mis gaat.
Nee die Gitlab patch is niet triviaal maar net zo belangrijk.
Net als deze https://arstechnica.com/gadgets/2021/11/dan-kaminskys-dns-cache-poisoning-attack-is-back-from-the-dead-again/
Maar de fanatieke Linux aanhangers hebben oogkleppen op.
Die gitlab patch is alleen belangrijk als de overheid deze on premise zelf heeft geïnstalleerd. Blijkbaar hebben ze afscheid genomen van Github sinds microsoft eigenaar is geworden?Door Toje Fos:
Nou, ik wens ze veel sterkte en succes daarmee! Want al is de patch nog zo snel, Windows mal- en ransomware achterhaalt 'm wel. Als ze het ene patchen dan valt het andere om. Typisch voor een spaghetticodebouwwerk.
Die GitLab fix daarentegen is waarschijnlijk triviaal.
Amerikaanse federale overheidsinstanties moeten verschillende actief aangevallen kwetsbaarheden in Exchange, Excel, GitLab en Windows voor 1 december van dit jaar patchen, zo heeft het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security bepaald.
Nou, ik wens ze veel sterkte en succes daarmee! Want al is de patch nog zo snel, Windows mal- en ransomware achterhaalt 'm wel. Als ze het ene patchen dan valt het andere om. Typisch voor een spaghetticodebouwwerk.
Die GitLab fix daarentegen is waarschijnlijk triviaal.
Kijk dit is precies waarom het zo vaak mis gaat.
Nee die Gitlab patch is niet triviaal maar net zo belangrijk.
Net als deze https://arstechnica.com/gadgets/2021/11/dan-kaminskys-dns-cache-poisoning-attack-is-back-from-the-dead-again/
Maar de fanatieke Linux aanhangers hebben oogkleppen op.
Jammer voor jou poging maar mijn Linux desktop is hier 100% niet vatbaar voor (ik kan niet gepinged worden en ben geen dns service provider). Windows werkplekken lopen wel veel meer gevaar omdat internet sites gespoofed kunnen worden en windows zo vatbaar is voor drive-by download infecties. De meeste DNS servers draaien namelijk Linux (ook met een reden).
Kun je wel zeggen maar
The researchers tested to see if DNS software was vulnerable when running on either Windows or Free BSD and found no evidence it was. Since macOS uses the FreeBSD network stack, they assume it isn’t vulnerable either.
Misschien is Linux niet de beste keuze ;)
Door _R0N_:Kun je wel zeggen maar
The researchers tested to see if DNS software was vulnerable when running on either Windows or Free BSD and found no evidence it was. Since macOS uses the FreeBSD network stack, they assume it isn’t vulnerable either.
Misschien is Linux niet de beste keuze ;)
The researchers tested to see if DNS software was vulnerable when running on either Windows or Free BSD and found no evidence it was. Since macOS uses the FreeBSD network stack, they assume it isn’t vulnerable either.
Misschien is Linux niet de beste keuze ;)
"A third is to reject ICMP redirects."
Did is het juiste antwoord. Zoals in de comments ook al staat waarom staat niet boven aan ? Dit is een feature die eigenlijk gewoon uit mag staan. Ik vroeg me altijd af waarom dit standaard aan staat.
Door _R0N_:
Kun je wel zeggen maar
The researchers tested to see if DNS software was vulnerable when running on either Windows or Free BSD and found no evidence it was. Since macOS uses the FreeBSD network stack, they assume it isn’t vulnerable either.
Misschien is Linux niet de beste keuze ;)
Het gaat niet alleen om de DNS service. Dat kan hij zeker wel zeggen want jij verbindt 2 verschillende zaken aan elkaar.Door walmare:
Jammer voor jou poging maar mijn Linux desktop is hier 100% niet vatbaar voor (ik kan niet gepinged worden en ben geen dns service provider). Windows werkplekken lopen wel veel meer gevaar omdat internet sites gespoofed kunnen worden en windows zo vatbaar is voor drive-by download infecties. De meeste DNS servers draaien namelijk Linux (ook met een reden).
Door _R0N_:
Kijk dit is precies waarom het zo vaak mis gaat.
Nee die Gitlab patch is niet triviaal maar net zo belangrijk.
Net als deze https://arstechnica.com/gadgets/2021/11/dan-kaminskys-dns-cache-poisoning-attack-is-back-from-the-dead-again/
Maar de fanatieke Linux aanhangers hebben oogkleppen op.
Die gitlab patch is alleen belangrijk als de overheid deze on premise zelf heeft geïnstalleerd. Blijkbaar hebben ze afscheid genomen van Github sinds microsoft eigenaar is geworden?Door Toje Fos:
Nou, ik wens ze veel sterkte en succes daarmee! Want al is de patch nog zo snel, Windows mal- en ransomware achterhaalt 'm wel. Als ze het ene patchen dan valt het andere om. Typisch voor een spaghetticodebouwwerk.
Die GitLab fix daarentegen is waarschijnlijk triviaal.
Amerikaanse federale overheidsinstanties moeten verschillende actief aangevallen kwetsbaarheden in Exchange, Excel, GitLab en Windows voor 1 december van dit jaar patchen, zo heeft het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security bepaald.
Nou, ik wens ze veel sterkte en succes daarmee! Want al is de patch nog zo snel, Windows mal- en ransomware achterhaalt 'm wel. Als ze het ene patchen dan valt het andere om. Typisch voor een spaghetticodebouwwerk.
Die GitLab fix daarentegen is waarschijnlijk triviaal.
Kijk dit is precies waarom het zo vaak mis gaat.
Nee die Gitlab patch is niet triviaal maar net zo belangrijk.
Net als deze https://arstechnica.com/gadgets/2021/11/dan-kaminskys-dns-cache-poisoning-attack-is-back-from-the-dead-again/
Maar de fanatieke Linux aanhangers hebben oogkleppen op.
Jammer voor jou poging maar mijn Linux desktop is hier 100% niet vatbaar voor (ik kan niet gepinged worden en ben geen dns service provider). Windows werkplekken lopen wel veel meer gevaar omdat internet sites gespoofed kunnen worden en windows zo vatbaar is voor drive-by download infecties. De meeste DNS servers draaien namelijk Linux (ook met een reden).
Kun je wel zeggen maar
The researchers tested to see if DNS software was vulnerable when running on either Windows or Free BSD and found no evidence it was. Since macOS uses the FreeBSD network stack, they assume it isn’t vulnerable either.
Misschien is Linux niet de beste keuze ;)
Door Anoniem: Het is toch bijzonder te noemen dat onze [sic] orakel Toje (met zogenaamd een eigen bedrijf, haha)
Vertel knul! Wat voor onderbouwing heb je voor dat 'zogenaamd' en 'haha'?
Door Anoniem: wel altijd precies weet dat Microsoft patchen te relateren zijn aan spaghetticode en dat andere fixes triviaal zijn en Linux noooooooit te maken heeft gehad met een security probleem.
Dat klopt...
Door Anoniem: Het laat weer eens zien hoe competent hij is zullen we maar zeggen.
Wie zijn 'we'?
19-11-2021, 07:12 door
Bitje-scheef
Door _R0N_:
Kijk dit is precies waarom het zo vaak mis gaat.
Nee die Gitlab patch is niet triviaal maar net zo belangrijk.
Net als deze https://arstechnica.com/gadgets/2021/11/dan-kaminskys-dns-cache-poisoning-attack-is-back-from-the-dead-again/
Maar de fanatieke Linux aanhangers hebben oogkleppen op.
Door Toje Fos:
Nou, ik wens ze veel sterkte en succes daarmee! Want al is de patch nog zo snel, Windows mal- en ransomware achterhaalt 'm wel. Als ze het ene patchen dan valt het andere om. Typisch voor een spaghetticodebouwwerk.
Die GitLab fix daarentegen is waarschijnlijk triviaal.
Amerikaanse federale overheidsinstanties moeten verschillende actief aangevallen kwetsbaarheden in Exchange, Excel, GitLab en Windows voor 1 december van dit jaar patchen, zo heeft het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security bepaald.
Nou, ik wens ze veel sterkte en succes daarmee! Want al is de patch nog zo snel, Windows mal- en ransomware achterhaalt 'm wel. Als ze het ene patchen dan valt het andere om. Typisch voor een spaghetticodebouwwerk.
Die GitLab fix daarentegen is waarschijnlijk triviaal.
Kijk dit is precies waarom het zo vaak mis gaat.
Nee die Gitlab patch is niet triviaal maar net zo belangrijk.
Net als deze https://arstechnica.com/gadgets/2021/11/dan-kaminskys-dns-cache-poisoning-attack-is-back-from-the-dead-again/
Maar de fanatieke Linux aanhangers hebben oogkleppen op.
Alle OS'sen hebben hier last van, je kunt het uit/aan-zetten of afschermen.
Nee Linux is niet heilig en heeft zo nu en dan ook patches en fixes.
Exchange is gewoon gatenkaas, Outlook is gewoon gatenkaas. Teams is gatenkaas. Daarnaast is het bijzonder lucratief om gaten in Exchange en Outlook te vinden voor hackers en phishing wegens de install-base.
MS moet gewoon stoppen met alles op 75% gereed en getest uit te brengen.
Door _R0N_:
Kijk dit is precies waarom het zo vaak mis gaat.
Nee die Gitlab patch is niet triviaal maar net zo belangrijk.
Door Toje Fos: ...
Die GitLab fix daarentegen is waarschijnlijk triviaal.
Die GitLab fix daarentegen is waarschijnlijk triviaal.
Kijk dit is precies waarom het zo vaak mis gaat.
Nee die Gitlab patch is niet triviaal maar net zo belangrijk.
Ik bedoelde (natuurlijk) triviaal om te maken en installeren. Duh...
19-11-2021, 16:45 door
karma4
Door Toje Fos: Die GitLab fix daarentegen is waarschijnlijk triviaal.
De gitlab fix is onmogelijk op te lossen, Hard code passwords in code is zo fundamenteel verkeerd en toch gaan die er telkens weer is. Beter is het om met heel Git te stoppen wegens fundamentele foute aannames.Door karma4:
Heb je Microsoft al geïnformeerd. Ze hebben net het windows beheer ondergebracht in git!Door Toje Fos: Die GitLab fix daarentegen is waarschijnlijk triviaal.
De gitlab fix is onmogelijk op te lossen, Hard code passwords in code is zo fundamenteel verkeerd en toch gaan die er telkens weer is. Beter is het om met heel Git te stoppen wegens fundamentele foute aannames.Door karma4: De gitlab fix is onmogelijk op te lossen,
Even nagekeken. Debian had de bug in ExifTool, die het veroorzaakt, op 2 mei van dit jaar al gepatcht. De oplossing is dus om een nieuwere versie van ExifTool te gebruiken die gewoon beschikbaar is. Als die binnen GitLab wordt gebruikt is dit probleem in GitLab daarmee ook opgelost. Je houdt er een gekke definitie van "onmogelijk" op na. Hard code passwords in code is zo fundamenteel verkeerd en toch gaan die er telkens weer is.
Dat was hier het probleem niet, het probleem met GitLab was dat het ExifTool gebruikt om geüploade afbeeldingen te inspecteren en dat ExifTool code in een gemanipuleerd DjVu-bestand kan uitvoeren. Beter is het om met heel Git te stoppen wegens fundamentele foute aannames.
Het probleem zit helemaal niet in Git. GitLab is niet Git, het gebruikt Git — en ExifTool. GitLab heeft last van een probleem in ExifTool en jij schrijft het aan Git toe? De logica die je hier toepast is zoiets als je fietsband op gaan pompen als je ketting eraf ligt.Door karma4:
Door Toje Fos: Die GitLab fix daarentegen is waarschijnlijk triviaal.
De gitlab fix is onmogelijk op te lossen, Hard code passwords in code is zo fundamenteel verkeerd en toch gaan die er telkens weer is. Beter is het om met heel Git te stoppen wegens fundamentele foute aannames.Welke passwords in de code? Hoe kom je er in hemelsnaam bij dat GitLab wachtwoorden in hun code zou zetten?
Of bedoel je dat mensen die git gebruiken hun wachtwoorden onder versiebeheer zouden zetten? Als iemand dat doet dan is git wel het minste probleem (tegen dat soort domheid is niets bestand).
Of wil je alle versiebeheer in een kwaad daglicht stellen met jouw rare speculaties? Dan heb je weinig begrepen van professionele softwareontwikkeling! (Dat is geen verrassing).
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
