A Microsoft nem patcheli a súlyos WINS sebezhetőséget, aki használja, váltson DNS-re

Titkosítás, biztonság, privát szféra

A FortiGuard Labs 2016 decemberében felfedezett egy súlyos távoli WINS sebezhetőséget a Microsoft Windows Server-ben. 2017 júniusában a Microsoft jelezte a FortiGuard Labs-nak, hogy nem javítja a sebezhetőséget, mert az sok munkával járna. Helyette azt javasolja a WINS felhasználóknak, hogy váltsanak DNS-re. A sebezhetőség érinti a Windows Server 2008, 2012 és 2016 termékeket.

Részletek itt.

( trey | 2017. 06. 26., h – 14:45 )

A probléma szőnyeg alá söprése ^^^

(Ha egy szolgáltatás elavult (kétségtelen, hogy a WINS az), akkor nem szállítom. Ha szállítom, akkor pedig kutya kötelességem az életciklusa alatt biztonsági szempontból támogatni.)

--
trey @ gépház

Tehát, ha jól értem (és eltekintek a tereléstől) szerinted az normális üzletmenet, hogy a Windows Server 2016-ban van egy összetevő, ami távolról sebezhető, ezt bejelentik a Microsoftnak, ami azt válaszolja, hogy nem javítja a hibát, mert az sok munka lenne és otthagyja egy támogatott termékben a biztonsági problémát.

--
trey @ gépház

Félre értettél nem tartom korrekt dolognak a Microsoft részéről, hogy sok munka a probléma javítása és inkább ne használd. Főleg annak fényébe. hogy micsoda összegeket kérnek licenc díj gyanánt. De a szomorú valóság egyre inkább az, hogy old meg magad de azért a termék és szolgáltatás díját csak fizesd ki. :(((

Igy van, ezt nem olyankor kellene kijelenteni, amikor kiderul rola, hogy sebezheto,
hanem az adott kiadas elott at kell gondolni, hogy milyen szolgaltatast akarnak nyujtani az adott kiadasban, mennyi lesz az eletciklusa, mi varhato a tamogatas idoszaka alatt es az idoszak vegen.
A WINS elavultsagat tekintve, azon gondolkozok, hogy miert hagytak benne meg a 2016-ban is? Szandekosan hagytak benne vagy elfelejtkeztek rola?
Ha szandekosan hagytak benne, akkor ezt a reakciot 2017-ben nagyon csunya dolog volt kijelenteni.
Ha veletlenul maradt benne (:)), akkor talan mondhatjuk azt, hogy ez a projekt meret olyan gigantikusra nott, hogy maga a projekt manager (vagy mittudomen kicsoda) sem latja at.
Ilyenkor persze meg kell nyirbalni, a felesleget kihagyni belole.

( uid_16313 | 2017. 06. 26., h – 14:52 )

Nem csak a WINS komplikált, hanem az egész Windows. Ennyi eröböl azt se támogassák...

--
robyboy

Microsoft confirms some Windows 10 source code has leaked

Semmi. Sehonnan. Senki. Sehova.

Tehát összefoglalva:

- Semmi sem szivárgott ki, de azért mégis.
- Az FTP tulaj esküszik, hogy ott semmi sem volt, de mégis. De semmi fontos, de azért letörölte. Ugyan nem volt benne illegális, de azért nem teszi vissza.
- Letartóztattak embereket valami Microsoft-hoz betörés miatt, de az nem az. De lehet, hogy mégis. Köze ehhez nincs, vagy mégis van.
- Valaki betörhettek a Microsoft-hoz az év elején, de a Microsoft ettől nem beszél.
- A Windows Update azért állt, mert hátha mégis.
- A Microsoftot kérdezték, de nem nyilatkozik.
- Saxus és gelei (akik egyébként barik, közeli) mindent tudnak.

Kimaradt valami?

--
trey @ gépház

As a refresher, the Windows code base is approximately 3.5M files and, when checked in to a Git repo, results in a repo of about 300GB.

(https://blogs.msdn.microsoft.com/bharry/2017/05/24/the-largest-git-repo…)

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

Ennek a sztorinak nem a forráskód a lényege, nem is az, hogy mennyi forrás szivárgott ki. Az a lényege, hogy betörtek-e a Microsofthoz, mi volt az a sunyiskodás tavasszal, amikor leállították a frissítések kiadását, amikor kimaradt egy Patch Kedd stb.

Sajnos a szoftvergyártó kussol.

--
trey @ gépház

Már ne érts félre, nem személyes kötekedés. De miből gondolod, hogy te vagy az átlag felhasználó értesítése a biztonsági résekről, javításokról a legfontosabb a Microsoftnál. Ja és még valami, hogyha a termék és a hozzá kapcsolt szolgáltatás minőségével az ember nem elégedett akkor vált és akár ott is hagyhatja az ablakosokat. Ne gondolja senki, hogy védem a Microsoftot és fan vagyok csak az üzleti életbe ez így megy és senki ne gondolja, hogy itt nem az üzleti szempontok az elsők.

"De miből gondolod, hogy te vagy az átlag felhasználó értesítése a biztonsági résekről, javításokról a legfontosabb a Microsoftnál."

Ez kérdés volt? Ha az, akkor maga a Microsoft kezdte el szajkózni a biztonság és transzparencia fontosságát úgy 10+ évvel ezelőtt.

--
trey @ gépház

Tök mindegy mit mondtak, mondanak, mert a példa is azt mutatja, hogy nem jelent semmit. Sajnos multiéknál ez így megy. Optikai tuning, vagy nem is tudom, minek nevezzem. A hazugság persze a legideillöbb, de a valóság néha sokkal árnyaltabb. Minden esetre kemény marketing az, hogy cégek nem publikálják a hibáikat kifelé, mert akkor lehúzhatják a rolót. Tökéletes világban élünk, agyonfotosoppolt mindennel, ebbe nem illik bele a valóság és az öszínteség.

--
robyboy

Szerintem én Zizitől hallottam erről először, 19 évesen (maradjunk annyiban, ennek 10+ éve), és vagy az E vagy a V2 legfelső emeletén volt egy vasrácsos labor, a felelőse pedig (Charaf) Hassan volt.

Sose mentem be, a linux kernelen ugyanis ekkortájt nagyjából kiismertem magamat (egy nem túl egzotikus hardverre simán irtam volna drivert vagy pl egy fs-implementációt), ahhoz volt forrásom nyilván, az MS annyira nem érdekelt.

Azt állították, lefordítható és bootolhatóvá tehető Windows. Az MS amúgy sokszor adott ki forráskódot (MFC forrása, .NET referenciaimplementáció stb), csak a lincenszük jóideig nem volt OSS-kompatibilis...

( szerjozsa | 2017. 06. 27., k – 08:05 )

"azt javasolja a WINS felhasználóknak, hogy váltsanak DNS-re"

2017-ben.

( hnsz2002 v | 2017. 06. 27., k – 08:31 )

Komolyan, van még aki WINS-ezik?
--
"Sose a gép a hülye."