A Microsoft nem patcheli a súlyos WINS sebezhetőséget, aki használja, váltson DNS-re

 ( trey | 2017. június 26., hétfő - 14:44 )

A FortiGuard Labs 2016 decemberében felfedezett egy súlyos távoli WINS sebezhetőséget a Microsoft Windows Server-ben. 2017 júniusában a Microsoft jelezte a FortiGuard Labs-nak, hogy nem javítja a sebezhetőséget, mert az sok munkával járna. Helyette azt javasolja a WINS felhasználóknak, hogy váltsanak DNS-re. A sebezhetőség érinti a Windows Server 2008, 2012 és 2016 termékeket.

Részletek itt.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

A probléma szőnyeg alá söprése ^^^

(Ha egy szolgáltatás elavult (kétségtelen, hogy a WINS az), akkor nem szállítom. Ha szállítom, akkor pedig kutya kötelességem az életciklusa alatt biztonsági szempontból támogatni.)

--
trey @ gépház

+1

Majd lesz belőle balhé, aztán kijavítják, és megint ők lesznek a jófejek...

"(Ha egy szolgáltatás elavult (kétségtelen, hogy a WINS az), akkor nem szállítom. Ha szállítom, akkor pedig kutya kötelességem az életciklusa alatt biztonsági szempontból támogatni.)"

Majd felébredsz...!

Fejtsd ki, hogy mire gondolsz.

--
trey @ gépház

Feltetelezem arra az igen jelentos (mostmar tolunk keletre sem igen hangoztatott) mantrara gondol, hogy "szarazMS!!!", mert ez a legegyszerubb.

Udv.

Tehát, ha jól értem (és eltekintek a tereléstől) szerinted az normális üzletmenet, hogy a Windows Server 2016-ban van egy összetevő, ami távolról sebezhető, ezt bejelentik a Microsoftnak, ami azt válaszolja, hogy nem javítja a hibát, mert az sok munka lenne és otthagyja egy támogatott termékben a biztonsági problémát.

--
trey @ gépház

Félre értettél nem tartom korrekt dolognak a Microsoft részéről, hogy sok munka a probléma javítása és inkább ne használd. Főleg annak fényébe. hogy micsoda összegeket kérnek licenc díj gyanánt. De a szomorú valóság egyre inkább az, hogy old meg magad de azért a termék és szolgáltatás díját csak fizesd ki. :(((

< sarcasm > hol van hajbazer amikor szükség lenne rá? < / sarcasm >

Biztos üresedés volt a SETI-nél és most épp idegen életformák után kutat.

Egy Pentium processzoros gépen Windows XP-n :)
--

"After successfully ignoring Google, FAQ's, the board search and leaving a undecipherable post in the wrong sub-forum don't expect an intelligent reply."

"Ha szállítom, akkor pedig kutya kötelességem az életciklusa alatt biztonsági szempontból támogatni."
Így lenne korrekt, de vajon az MS-nek tényleg "kutya" kötelessége? Gondolom, a jogászaikkal azért egyeztettek, mielőtt ezt meglépték...

Igy van, ezt nem olyankor kellene kijelenteni, amikor kiderul rola, hogy sebezheto,
hanem az adott kiadas elott at kell gondolni, hogy milyen szolgaltatast akarnak nyujtani az adott kiadasban, mennyi lesz az eletciklusa, mi varhato a tamogatas idoszaka alatt es az idoszak vegen.
A WINS elavultsagat tekintve, azon gondolkozok, hogy miert hagytak benne meg a 2016-ban is? Szandekosan hagytak benne vagy elfelejtkeztek rola?
Ha szandekosan hagytak benne, akkor ezt a reakciot 2017-ben nagyon csunya dolog volt kijelenteni.
Ha veletlenul maradt benne (:)), akkor talan mondhatjuk azt, hogy ez a projekt meret olyan gigantikusra nott, hogy maga a projekt manager (vagy mittudomen kicsoda) sem latja at.
Ilyenkor persze meg kell nyirbalni, a felesleget kihagyni belole.

Nem csak a WINS komplikált, hanem az egész Windows. Ennyi eröböl azt se támogassák...

--
robyboy

sebaj, majd valaki a kiszivárgott forráskódból megcsinálja a peccset :D

Ami mint kiderult nem is szivargott ki ugyebar...

Microsoft confirms some Windows 10 source code has leaked

Semmi. Sehonnan. Senki. Sehova.

Tehát összefoglalva:

- Semmi sem szivárgott ki, de azért mégis.
- Az FTP tulaj esküszik, hogy ott semmi sem volt, de mégis. De semmi fontos, de azért letörölte. Ugyan nem volt benne illegális, de azért nem teszi vissza.
- Letartóztattak embereket valami Microsoft-hoz betörés miatt, de az nem az. De lehet, hogy mégis. Köze ehhez nincs, vagy mégis van.
- Valaki betörhettek a Microsoft-hoz az év elején, de a Microsoft ettől nem beszél.
- A Windows Update azért állt, mert hátha mégis.
- A Microsoftot kérdezték, de nem nyilatkozik.
- Saxus és gelei (akik egyébként barik, közeli) mindent tudnak.

Kimaradt valami?

--
trey @ gépház

A WU-n terjesztették a forrást? ;-)

--
A főnököm mindig megtartja amit ígér, ha pénzt ígér azt is!

A 32Tb source-hoz kepest max letoltottek parszaz megat amit OEM-ek hasznalnak. Nagyon messze van a teljes forraskodtol.

Azért ne viccelgessünk már, hogy egy Windows forrását TB-okban kell mérni... szerintem az összes MS termék valaha volt összes verziójának a forrása szumma sincs 32TB.

Idézet:
As a refresher, the Windows code base is approximately 3.5M files and, when checked in to a Git repo, results in a repo of about 300GB.

(https://blogs.msdn.microsoft.com/bharry/2017/05/24/the-largest-git-repo-on-the-planet/)

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

Biztos kinyomtatták és beszkennelték.

En hol mondtam ilyet?
Az eredeti hirben volt hogy 32TB adatot ami tartalmazta a forraskodot letoltottek. A masik hirben kifejtettek, hogy parszaz mega volt az es az nagyon keves ahhoz hogy tartalmazhassa a forraskodot.

Senki sem említett teljes forráskódot. A 32TB insider build-ekre vonatkozó adat volt, plusz core forráskódok.

(PS: Tb != TB)

--
trey @ gépház

Anno az AUT tanszéken volt XP forráskód... jó, nem lehetett bevinni pendrive-ot meg ilyenek de ez akkortájt nem volt annyira hipertitkos dolog, egyetemek, főbb partnerek megkaphatták.

Most ennyire nagy szikret lenne?

Ennek a sztorinak nem a forráskód a lényege, nem is az, hogy mennyi forrás szivárgott ki. Az a lényege, hogy betörtek-e a Microsofthoz, mi volt az a sunyiskodás tavasszal, amikor leállították a frissítések kiadását, amikor kimaradt egy Patch Kedd stb.

Sajnos a szoftvergyártó kussol.

--
trey @ gépház

Már ne érts félre, nem személyes kötekedés. De miből gondolod, hogy te vagy az átlag felhasználó értesítése a biztonsági résekről, javításokról a legfontosabb a Microsoftnál. Ja és még valami, hogyha a termék és a hozzá kapcsolt szolgáltatás minőségével az ember nem elégedett akkor vált és akár ott is hagyhatja az ablakosokat. Ne gondolja senki, hogy védem a Microsoftot és fan vagyok csak az üzleti életbe ez így megy és senki ne gondolja, hogy itt nem az üzleti szempontok az elsők.

"De miből gondolod, hogy te vagy az átlag felhasználó értesítése a biztonsági résekről, javításokról a legfontosabb a Microsoftnál."

Ez kérdés volt? Ha az, akkor maga a Microsoft kezdte el szajkózni a biztonság és transzparencia fontosságát úgy 10+ évvel ezelőtt.

--
trey @ gépház

Magyarország is jobban teljesít (bocs!). A kommunikáció nem jelent semmit.

--
robyboy

Úgy érted, hogy a Microsoft a levegőbe beszél(t)?

--
trey @ gépház

Tök mindegy mit mondtak, mondanak, mert a példa is azt mutatja, hogy nem jelent semmit. Sajnos multiéknál ez így megy. Optikai tuning, vagy nem is tudom, minek nevezzem. A hazugság persze a legideillöbb, de a valóság néha sokkal árnyaltabb. Minden esetre kemény marketing az, hogy cégek nem publikálják a hibáikat kifelé, mert akkor lehúzhatják a rolót. Tökéletes világban élünk, agyonfotosoppolt mindennel, ebbe nem illik bele a valóság és az öszínteség.

--
robyboy

+1

Szerintem te is tudod aki a leghangosabban kiabál az szokta a legelsőnek felrúgni a szabályokat.

"Ja és még valami, hogyha a termék és a hozzá kapcsolt szolgáltatás minőségével az ember nem elégedett akkor vált és akár ott is hagyhatja az ablakosokat."

Ez egy kvázi monopolhelyzetben levő szolgáltató esetén elég vicces kijelentés...

Azért szerver szolgáltatás terén nem nevezném egyeduralkodónak és ilyen hozzá állással ez a terület csak egyre szűkül.

Ezt erősítse meg valaki.
Nagyon szkeptikus vagyok, hogy egy oktatási intezménynek a teljes kódbázist kiadják.

Nem írt teljes kódbázist. ;)
---
Útirány.hu

Szerintem én Zizitől hallottam erről először, 19 évesen (maradjunk annyiban, ennek 10+ éve), és vagy az E vagy a V2 legfelső emeletén volt egy vasrácsos labor, a felelőse pedig (Charaf) Hassan volt.

Sose mentem be, a linux kernelen ugyanis ekkortájt nagyjából kiismertem magamat (egy nem túl egzotikus hardverre simán irtam volna drivert vagy pl egy fs-implementációt), ahhoz volt forrásom nyilván, az MS annyira nem érdekelt.

Azt állították, lefordítható és bootolhatóvá tehető Windows. Az MS amúgy sokszor adott ki forráskódot (MFC forrása, .NET referenciaimplementáció stb), csak a lincenszük jóideig nem volt OSS-kompatibilis...

"azt javasolja a WINS felhasználóknak, hogy váltsanak DNS-re"

2017-ben.

Komolyan, van még aki WINS-ezik?
--
"Sose a gép a hülye."

Kurvára nem ez a lényeg itt.

--
trey @ gépház

Vágom, csak azt hittem már rég kihalt..
--
"Sose a gép a hülye."

Mit szolna ha mondjuk feldobna egy uzenetet, hogy
sebezheto es nem tamogatott tovabb, ha megis futtatni
seretned addj --force flaget hozza vagy valts sambara.


Amit nem lehet megirni assemblyben, azt nem lehet megirni.

Persze, pl én. Igaz Sambával.