Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Ubuntu 16.04 ESM kwetsbaar in Log4j

17-12-2021, 16:22 door Anoniem, 18 reacties
Bezitters van deze distro moeten hun software updaten.
https://ubuntu.com/security/notices/USN-5192-2

Voor de mensen van het NCSC, graag deze entry toevoegen op GitHub.
Met dank.
Reacties (18)
17-12-2021, 17:01 door Anoniem
Dit zal vast niet "deze distro" betreffen maar een of enkele pakketten eruit, die wellicht lang niet iedereen installeert.
17-12-2021, 17:18 door Anoniem
Niet alleen in Ubuntu 16.04 ESM. Ook de andere versies waren kwetsbaar en zijn inmiddels van een patch voorzien.

Hieronder de lijst:
https://ubuntu.com/security/notices?order=newest&release=&details=Log4j
17-12-2021, 17:30 door Anoniem
Eerste is onzin en tweede zinloos. NCSC kijkt hier niet.
17-12-2021, 18:11 door gradje71
Bereid je maar voor.
17-12-2021, 19:34 door Anoniem
Door Anoniem: Voor de mensen van het NCSC, graag deze entry toevoegen op GitHub.

Maak je even een pull request op https://github.com/NCSC-NL/log4shell/blob/main/software/README.md de plek om dit soort dingen momenteel te melden? Dan is iedereen je weer dankbaar.
17-12-2021, 19:39 door Anoniem
Ik weet het niet hoor, maar we zitten inmiddels al op 20.04.
Of is er al een nieuwere LTS uitgave.
Binnenkort komt er weer een nieuwe LTS versie aan, volgens mij.
Blijkbaar zijn er dus nog mensen die met 16.04 draaien.
Maar ik sluit bij deze niet uit dat er nog mensen met Windows ME, Vista of millennium draaien.
Alles is mogelijk.
17-12-2021, 20:04 door Anoniem
Ubuntu.com heeft op 17 december voor Ubuntu 16.04 ESM een patch voor Log4j uitgebracht.

https://ubuntu.com/security/notices/USN-5192-2


Debian.org had de apache-log4j2 security update v2.15.0 reeds op 11 december uitgebracht.

https://www.debian.org/security/2021/dsa-5020
18-12-2021, 01:12 door Anoniem
Door Anoniem: Eerste is onzin en tweede zinloos. NCSC kijkt hier niet.
Ze hebben mij verzekerd van wel. Dus wat jij zegt is onzin en zinloos.
18-12-2021, 12:53 door Anoniem
Door Anoniem: Niet alleen in Ubuntu 16.04 ESM. Ook de andere versies waren kwetsbaar en zijn inmiddels van een patch voorzien.

Hieronder de lijst:
https://ubuntu.com/security/notices?order=newest&release=&details=Log4j
Ubuntu was niet kwetsbaar. Gaat alleen om het log4j pakket als je die hebt geïnstalleerd uit een repo voor een enterprise applicatie! Ubuntu heeft heel erg veel software via repo's beschikbaar gemaakt (vanlog4j tot Microsoft dotnet ): https://itsfoss.com/ubuntu-repositories/
19-12-2021, 22:40 door Anoniem
Door Anoniem: Ik weet het niet hoor, maar we zitten inmiddels al op 20.04.
Of is er al een nieuwere LTS uitgave.
Binnenkort komt er weer een nieuwe LTS versie aan, volgens mij.
Blijkbaar zijn er dus nog mensen die met 16.04 draaien.
Maar ik sluit bij deze niet uit dat er nog mensen met Windows ME, Vista of millennium draaien.
Alles is mogelijk.
Wat je zegt is niet correct. De nieuwste versie is inmiddels 21.10.
Er zijn genoeg klanten die een ouder OS draaien. Vandaar de topic start.
20-12-2021, 09:54 door Anoniem
Door Anoniem:
Door Anoniem: Ik weet het niet hoor, maar we zitten inmiddels al op 20.04.
Of is er al een nieuwere LTS uitgave.
Binnenkort komt er weer een nieuwe LTS versie aan, volgens mij.
Blijkbaar zijn er dus nog mensen die met 16.04 draaien.
Maar ik sluit bij deze niet uit dat er nog mensen met Windows ME, Vista of millennium draaien.
Alles is mogelijk.
Wat je zegt is niet correct. De nieuwste versie is inmiddels 21.10.
Er zijn genoeg klanten die een ouder OS draaien. Vandaar de topic start.

Versie 21.10 is geen LTS uitgave maar een tussen uitgave,
De LTS versie is nog steeds 20.04
De derde update is 20.04.3
20-12-2021, 11:13 door Anoniem
@ Gisteren, 22:40 door Anoniem,

Bekijk dit even.
En kijk de versies daar even na.
De LTS uitgave is nog steeds 20.04

https://ubuntu.com/download/desktop
20-12-2021, 11:18 door Ron625
Door Anoniem:
Door Anoniem: Ik weet het niet hoor, maar we zitten inmiddels al op 20.04.
Of is er al een nieuwere LTS uitgave.
Binnenkort komt er weer een nieuwe LTS versie aan, volgens mij.
Wat je zegt is niet correct. De nieuwste versie is inmiddels 21.10.
De nieuwste LTS versie is 20.04 van april 2020.
De komende LTS versie is 22.04 van april 2022.
Ubuntu komt iedere 6 maanden met een tussen versie en iedere 24 maanden met een LTS vesie.
LTS = Long Time Support.
20-12-2021, 11:42 door Anoniem
Door Ron625:
Door Anoniem:
Door Anoniem: Ik weet het niet hoor, maar we zitten inmiddels al op 20.04.
Of is er al een nieuwere LTS uitgave.
Binnenkort komt er weer een nieuwe LTS versie aan, volgens mij.
Wat je zegt is niet correct. De nieuwste versie is inmiddels 21.10.
De nieuwste LTS versie is 20.04 van april 2020.
De komende LTS versie is 22.04 van april 2022.
Ubuntu komt iedere 6 maanden met een tussen versie en iedere 24 maanden met een LTS vesie.
LTS = Long Time Support.
Oh, er zal ook al een versie 2023 in de maak zijn. Maar daar gaat het helemaal niet om. Het gaat om de versies die nu zijn vrijgegeven en downloadbaar zijn. Daar had ik het over.
20-12-2021, 13:19 door Anoniem
Doe een pull request of meld het aan Ubuntu. Dit is zinloos.
21-12-2021, 09:50 door Ron625
Door Anoniem:
Oh, er zal ook al een versie 2023 in de maak zijn. Maar daar gaat het helemaal niet om. Het gaat om de versies die nu zijn vrijgegeven en downloadbaar zijn. Daar had ik het over.
In 2023 komt er dus GEEN LTS versie, want die komen om de 24 maanden.
De versie van april 2022 (22.04) is te downloaden als daily-build, die gebruik ik al 2 maanden........
21-12-2021, 18:34 door Anoniem
log4j is eigenlijk java en ook door gebruikers worden gedeployed in .war dus wel na te kijken.
Dus ook voor iedereen die angular gebruikt maar niet weten dat het op de achtergrond gebruikt wordt.
Voor mensen die het niet weten die niet bruikbare sites, te snel in elkaar geklust. En zonder grondige analyses en dit word dan gebruikers door hun strot word geduwt na dat ze elke expertise hebben buitengesmeten.
21-12-2021, 20:23 door Anoniem
Door Anoniem: log4j is eigenlijk java en ook door gebruikers worden gedeployed in .war dus wel na te kijken.
Dus ook voor iedereen die angular gebruikt maar niet weten dat het op de achtergrond gebruikt wordt.
Voor mensen die het niet weten die niet bruikbare sites, te snel in elkaar geklust. En zonder grondige analyses en dit word dan gebruikers door hun strot word geduwt na dat ze elke expertise hebben buitengesmeten.
Leuk, dat veroordelen met de kennis van nu!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.