Kritikus távoli hiba, a javítás majd 6 hónapot késett

Microsoft, Windows

Csak azért, mert... hat hónapja lyukasak a Windows rendszerek...

Az eEye számítógépes biztonsággal foglalkozó szervezet kritikus (MS besorolás szerint) hibát talált a Microsoft Windows operációs rendszerekben. A hiba érinti a 2000/XP/2003 (32 bites és amelyből van 64 bites, azt is) termékeket.A cég a hibát még 2003. július 25-én jelezte a redmondi cégnek, de a javítás majd 6 hónapot vett igénybe. A hiba az ASN.1 könyvtárat érinti. A hiba súlyosnak mondható, mert a rosszindulatú támadó kihasználva azt, távolról kódot futtathat az áldozat gépén.

Az eEye bejelentése itt. A Microsoft által kiadott bulletin a TechNet-en itt. Az AP cikke a dologról itt.

Az adminisztrátoroknak itt az ideje a patch fesztiválra.

( vomberg | 2004. 02. 11., sze – 08:24 )

Ez szinte nem lehet igaz. Sorra bukják el a nagy közigazgatási tendereket, városok országok szakadnak le róluk és ezek meg ezt csinálják. Holott egyértelműen nem a pénz miatt hagyják ott őket, hanem biztonsági okokból.

Tisztára úgy vezetik azt a céget, mint a 70-es években Magyarországon a nagyvállalatokat.

:-)))

( isti | 2004. 02. 11., sze – 08:32 )

Nekem valami szemet szúrt az oldalon, amikor a cikket olvastam. Kicsit az oldal jobb szélére pillantva megláttam a kategória legolvasottabb cikkjének címét....

Szerintem ennyi elég, mindenki kitalálja, hogy mire gondolok....

Hehe, kivancsi vagyok, hogy Sting mester hogyan talalja a dolgot. :]

Had tippeljek: "A nagyon komplex es bonyolult hiban a vallalat teljes erobedobassal dolgozott es mindossze 6 honap alatt ki is javitotta! Innen is latszik, hogy a Microsoft mennyire komolyan veszi a biztonsagot." >:D

( JoHn123 v | 2004. 02. 11., sze – 09:55 )

Azt nem értem, hogyha arra van energiájuk, hogy megállapítsák azt a "tényt" hogy a linux sebezhetőbb mint az M$, hosszú oldalakon kersztül, akkor arra miért nincs, hogy a mások álltal megállapított és közölt tényeken alapuló lyukakat időben befoltozzák...

Már csak marketingeseket foglalkoztatják a programozók helyett is?

( sz | 2004. 02. 11., sze – 09:56 )

megnéztem a szakmai portált is. Hír a javítócsomagról megvan, benne utalást a hiba bejelentésének idejére nem láttam [igaz, csak átfutottam az írást].

(;

( trey | 2004. 02. 11., sze – 10:03 )

az egeszben engem csak az bosszant hogy most megint foltozhatom vegig az ugyfeleink osszes gepet. de nem csak a szervereket, hanem a munkaallomasokat is. szegedtol sopronig, pecstol budapestig. van par szaz gep. es akkor az emberben ne menjen fel a pumpa :-

Pont ezt akartam én is írni Sting gyerekről! :DDDD

A Prohardverre átvett linkben is csak annyi van, hogy "két súlyos Windows-hibát is javít a Microsoft februári frissítés-csomagja". Valahogy nem érzem ugyanazt a nüansznyi finomságot, mint amikor kiteszi, hogy ÚJABB KRITIKUS HIBÁT TALÁLTAK A LINUXBAN/BSD KERNELEKBEN. :)))))))))))

( trey | 2004. 02. 11., sze – 10:28 )

ROOOOOOOOOOTFL

Csak most olvastam el vegig az eEye advisory-jat.. Gondolom sokan emlekeznek meg MC Hammer-re, es a ``nagysikeru'' U can't touch this szamara...

a bejelentesbol:

Preamble:

We wanted to write another "Night Before Xmas" poem but the vendor missed the last few release dates, so we had to resort to some MC(SE) Hammer:

U Can't Trust This (lool)

By: MCSE Hammer

Blaster did ya some harm

We just say, hey, another worm

But thank you, for trusting me

To mind your site's security

It's all good, when your server's downed

Our dope PR will pass blame around

Cuz it's known as such

That this is some software, you can't trust

I told ya Homeland

U can't trust this

Yeah that's why we're giving ya the code

U can't trust this

Check out eEye, man

U can't trust this

Yo let 'em bust more funky system

U can't trust this

Give 'em a string or recvfrom

Like no sweat they got the keys to your kingdom

Now ya know

You talk about eEye, you're talking about holes

Remote and tight

Coders still sweating so someone better write

A book to learn

What it's gonna take in '04

To earn some trust

Legit, either secure or ya might as well quit

That's the word because you know

U can't trust this

U can't trust this

Breakin' in

Stop -- eEye time

Szomoru lenne ha ebbol elnenk (szegyen ez az eloadora nezve) .

Abbol elunk, hogy rendszert uzemletetunk, es az ugyfel is annak orul, ha a rendeszer mukodik, es nem allando foltozasok mellett megy a rendszere.

Sajnos a Windows nem Linux. Minden egyes service pack vagy hotfix telepitese ujrainditassal jar, es ez egy szupport cegnek nagyon rossz, mert csak munkaido utan vagy munka ido elott lehet a szervereket leallitani. Kiveve ott ahol folyamatos muszak van (korhazak, stb.) ahol aztan plane csak ejjel, elore betervezett, utemterv szerinti idopontban lehet leallni. Az me egy masik ok hogy sokszor kritikus szerver eseten szemelyesen is jelen kell lenni, hogy lattam en mar windows szervert service pack feltelepitese utan fel nem allni.

OK NEM ORULNEK AZ ILYEN HIBAKNAK. MI SEM ORULUNK.

Tevedes hogy ebbol elunk. Az out-source-inget vegzo cegek akkor is megkapjak a penzt ha semmilyen service pack-et nem tesznek fel (vagyis nincs hiba, nem jelenik meg), meg akkor is ha egy honapban 30-at tesznek fel. Atalanydij.

Szoval ez senkinek nem jo. Az eloado meg nem dologzott gondolom eleteben sem komoly cegnel (aki tudja csinalja, aki nem az beszel rola tipikus esete). Lehet a garazscegeknel igy van, ahol eseti alkalmakkor kimennek virust irtani, meg service pack-ot, hotfix-et telepiteni. Ok lehet hogy esetszam utan kapjak a zset.

pontosabban:

"Az újonnan felfedezett hibák közül a legkritikusabb a Windows ún ASN.1 könyvtárában rejlik"

[pár bekezdéssel lejjebb]

"a kritikus besorolású, ASN.1 könyvtárban rejlő sebezhetőséget még tavaly nyáron fedezték fel"

tényleg ujjonnan van felfedezve :-)))))))))

( handler | 2004. 02. 11., sze – 12:36 )

Van jobb is:

"From the time of Windows NT 4.0's release (1996?) until June, 2003, an attacker could exploit the help system to run their own code"

http://www3.ns.sympatico.ca/rmelnick/helpexploit.jpg

"I could show you MS bugs that we've known about for

more than 8 years.

Yes, they crash your MS SMB server. Yes, we've told

Microsoft about them."

http://developers.slashdot.org/comments.pl?sid=59960&cid=5681769@

( Lakosimi | 2004. 02. 11., sze – 14:24 )

Sziasztok!

"A hiba érinti a 2000/XP/2003 (32 bites és amelyből van 64 bites, azt is) termékeket."

  • No igen!

    • Itt van az amikor az "ellentábor" rámutat, hogy a Linuxosok ne kritizálják a W32-őt mert így .... meg úgy, mert amikor a Linuxban ilyen-olyan régi felfedezetlen hibák jönnek ki...

  • És én nem is tudom hányadik ilyen windows hiba ez?

    • Most spontán az RPC hiba ugrott be ami több verziót érintett, de az Outlook és az IE szokott sorozatban "kitermelni" ilyen sokverziós hibákat...

    Az a baj, hogy annyira sokszinu a rendszer (gepekben es operacios rendszerkben is) hogy lehetetlen. A IBM Tivoli es az HP OpenView meg nem ketforint, ezeket ugyfelekkel megvetetni szinte keptelenseg. Az amit meg arban elfogadnak, es vesznek is nalunk az az Landesk Manager. Mar annak is orulok, ha egy szutyok isdn-en el lehet valahogy erni a szervereket....

    Viszont a Linux (a kernel) vs windows hibaszamolasokba bizony pl a gaim hibait is beleszoktak szamolni akkor mi is szamoljuk bele es ne higyjunk a microsoft altal szponzoralt osszehasonlito teszteknek.

    Noflame csak velemeny habar itt sztem evvel senki nem flamelne :)

    ( trey | 2004. 02. 12., cs – 18:12 )

    minden lehetseges. meg kell nezni stringre a fileokat amiket a hotfix kicserel. nem csodalkoznek rajta, ha lenne benne openssl-lel valo egyezes...