此文本在中也有一个版本英语.
Diese Woche战争“Kaputte Security Software Werbeoche”。
遵德帝国战争赫特Fortigate补丁日:
CVE-224-23113,CVSSV3得分9.8,未授权代码执行,“格式字符串错误”
“使用外部控制格式字符串脆弱性在FortiOS中功能梯度材料守护程序可能允许未经身份验证的远程攻击者执行任意代码或通过特制的请求执行命令。”
Das is ein Fall,wo eine C-Funktion einen Formatstring mit(秋季数据)“Bla%s Fasel”安妮,Kommando für einen的Log-Nachricht order之间系统()Aufruf zusammen zubauen。Der Entwickler hat jedoch den Format参数des Kommandos nicht statisch auf einen Formatstring gesetzt(snprintf(缓冲区,长度,“Bla%s Fasel”,benutzereingabe)),sondern stattdessen die Benutzereingabe als Format基因组人(snprintf(缓冲区,长度,benutzereingabe)).Die Benutzereingabe kann so verwendet werden,um alles Mögliche zu tun。
Das ist ein Fehler,der von denüblichen源代码扫描仪自动化erkannt wird,在现代的Entwicklungsumgebung versucht中找到了一个人,所以我们合并了,dann wird man vom Scanner ganz furchtbar erniedrigt,der Commit zurückgewiesen und man bekommt ein Security-Training zugewiesen。
Will sagen,dieser Fehler tritt in einer zeitgemäßen Development-Umgebung nicht mehr auf。
奥赫·盖斯特恩战火补丁:
CVE-224-21762,CVSSV3得分9.6,未授权代码执行,“越界写入”
“A出界写入脆弱性FortiOS中可能允许未经身份验证的远程攻击者通过巧尽心思构建的HTTP请求执行任意代码或命令。”
Das is ein Fehler,der in C oder anderen Sprachen ohne Indexprüfung beim Zugriff auf Arrays gerne gemacht wird公司。在C kann man zum Beispiel mit negatizen Indices auf Speicher vor dem Array zugreifen,und,加拿大苏格列芬wenn ein错误代码-1ist,aber nach einem Funktionsaufruf der Error-Code nicht geprüft wird,错误代码,丹·布伦特·艾伦斯·尼德。
Diese Sorte Fehler wird von源代码扫描仪mit statischem分析器nicht immer gefunden,阿伯·梅斯滕斯和艾尔·费尔,我是尼希特·帕西耶,我是索尔滕·冯·德姆·丁。
修女。莱德战争奥赫·沃格斯特恩Fortigate Patchday公司。布莱平计算机学院:
在这种情况下,由于我们目前正在调查的API存在问题,这不是一次编辑,而是创建了两个新的CVE,与最初的CVE-223-34992重复,FortiNet告诉BleepingComputer。
然而,事实证明CVE-224-23108和CVE-22-23109实际上是CVE-223-34992的补丁旁路Horizon3漏洞专家Zach Hanley发现的漏洞。
战争也存在于修补程序中,我们将采取缓解措施Fortinet在CVE Nummern的指导下完成了任务,这是一个很好的开端。
Unterdessen fordert die US CISA(网络安全和基础设施安全局)von allen US-Institutionen dasAbschalten von Ivanti VPN(vormals Juniper Pulse Secure):
“CISA要求所有联邦机构在周五午夜之前断开Ivanti产品(Ivanti Connect Secure和Ivanti Policy Secure)。这是大约48小时的通知,不是补丁,而是把它撕下来!Ivanti是一家美国公司。这是前所未有的。”
瓦伦德曼die原创创意ursprünglich noch als更新和重新安装sowie Neukonfiguration lesen konnteHoffnung mittlerweile zerschlagen去世了。
Die Patches、von denen dort Die Redeist、sind nicht geeignet、den Fehler zu heaben。布莱恩·克雷布斯(Brian Krebs)帽子是zusammengefasst.
下一步,杰曼德将成为伊万蒂影像公司的首席执行官。
Versionen von Software,die routinemäßig seit mehr als einer Dekade veraltet sind in einem aktuellen Image。
Das sind,wie curl-Entwickler Stefan Eissing编著了《Leichenteile und Zombie Software》。
Und,es kommt,wie es kommen必须:Einige Tage nach der von CISA vorgeschriebenen Patchorgie公司titelt漂白计算机网络:
Ivanti:立即修补新的连接安全身份验证绕过错误
该缺陷(CVE-224-22024)是由于XXE(XML外部实体)网关的SAML组件存在缺陷允许远程攻击者以低复杂性访问未修补设备上的受限资源无需用户交互或身份验证即可进行攻击。
SAML,安全断言标记语言,是单信号系统中的XML-Notation für Zugriffsrechte。Weil es eine XML表示ist,kann es dort diese&布拉布;-Dinger geben–实体–die durch anderen Text ersetzt werden。Bei External Entities liegt der Ersetzungstext nicht lokal fest,sondern wird aus dem Netz nachgeladen公司。
他是不是来自SAML?Es bedeutet,die Zugriffsrechte sind im Dokument also nicht zwingend festgenagelt,我是一个被遗弃的人,sondern ein Angreifer kann实体定义aus dem Netz nachladen。Je nachdem,wo die Entity verwendet wird,kann man damit die SAML-Datei in Teilen oder ganz umschreiben und sich andere Rechte geben。
XML-Parser sind gut verstanden和XEE sind ein Ding,auf das man mit einem Sourcecode-Scanner zuverlässig automatisch scannen kann。Diese Sorte Fehler位于现代Entwicklungsumgebungen gut auszuschließen。
所有这些都是澳大利亚和澳大利亚的VPN网关,sondern Hersteller von安全软件setzen fröhlich auf“安全相关软件的特权和编程方法是90年前的专利”。
Beispile aus diesem博客:
- ASLR公司:MacOS Trend Micro二进制mit ohne ASLR,jeder漏洞(ja,es gibt welche)is automatisch stabilüber die ganze Flotte。
- Websense DLP提供即时根:WebSense DLP veraltete Software版本控制和利用内核模块、vermutlich fehlende QA和defekter Shipping Prozess。
Das is bei Endpoint Security so verbreite,daßzum Beispiel公司@强悍的ein ganzes Buch darüber geschrieben帽子:反病毒黑客手册.beschreibt,wie man Sicherheitslücken dieser jeder艺术,wirklich jeder AV Software findet。
达斯主义体系:Es liegt an der Art und Weise,wie diese Software design und entwicket wird,《艺术与魏斯的世界》,und es is auch mit Patchs nicht zu heaben(这是一个重要的问题)。
Ich weißdas,weil Ich dieses Spiel einige Jahre mit einem Firmen-Mac gespielt habe:我有“安全工具”的版本,公司有meinem Mac installiert,um有meinem Mac Privilegien zu bekommen。
Der ganze Prozess is zuverlässig wiederholbar项目,我在基内姆·福尔·梅尔·艾伦·兰萨曼·弗雷塔格纳奇米塔格达夫·杜森投资公司工作。Dabei bin ich noch nicht einmal“安全研究员”,sondern nur ein Amateur mit Reverse-Engineering Erfahrung aus dem C64-Zeitalter。
Es ist diese Software,die angeblich schützen soll,die am Ende dazu führt,daßder Rechner angreifbar wird公司。Wenn jemand wie Fefe von先生施兰根奥尔雷德,丹恩是沃特利希·祖·弗斯泰恩。
蛇油是一个用来描述欺骗性营销的术语,医疗保健欺诈或骗局。同样,蛇油推销员是一个常见的标签,用来描述销售、促销、,或是某些无价值或欺诈性治疗、补救或解决方案的一般支持者。
Wir reden hier von kritisch安全相关软件,作为Eindringen von Schadsoftware和Angreifern auf Rechnern verimesten soll,Order die solche Angriffe erkennen soll公司,Order die Authentisierung order sonst eine Form von sicherheitsrelevanter Funktion帽子。
Sie läuft an kritischer Stelle,经常是Privilegien und wen Sie versagt,就是我的小天地,sondern eine ganze Firma kritisch出口。
Solche软件解决方案的特征在于Werkzeugen和Methoden,技术标准,技术标准und besconderer Beobachtung hinsichtlich Korrektheit、Fehlerfreiheit和Aktualität von Dependencies unteregen。
在费勒的领导下,他在Entwicklungsprozeßan allen Stellen schließen lassen的Defizite工作。
- Wir sehen kritische Fehler,die keine großproblematischen Auswirkungen haben müten,wenn die Software von vorher在这里重新命名geschrieben worden wäre。Aber Parser für komplexe,Unkannte Dateinformate,die potenziell bösartige Payloads enthalten分析,麻省理工学院劳芬祖拉森院长?Und dann noch elementare Sicherheitsmechanismen des Betriebssystems abschalten?没有任何要素是Sicherhietsmechanicalismen des Betriebsystems吸收的吗?Das bedeutet,sich für Maximalschaden aufzustellen公司。这是keine gewinnbare的位置。
- 2024年在C zu tun的Das alles,wenn man Go oder Rust zur Verfügung hätte?Auch nicht sonderlich schlau公司。
- 塞纳河交付物mit软件vollzupacken,die im Fall von Ivanti bis zu zwei Dekadenohne Patches auf dem Buckel hat,anstatt einen automatiseten Release-Prozess zu haben,der ein neues公司发布aus den neusten Versionen von allem zusamenschraubt und automatisch testet?Das is nicht nur“nicht Stand der Technik”,sondern es is grob fahrlässig。
- Das alles dann in einem verschlüsselten Image auszuliefern,statt mit einer“羞耻的SBOM”(软件材料清单,eine Liste der verwendeten Dependencies und ihrer Versionen)这是美国联邦犯罪的罪魁祸首,而欧盟则是韦格。真有胆量。
- Ein“Format String Bug”oder eine“XML External Entities Vulnerability”sind triviale Fehler,源代码扫描器erkennen können,wie sie von diesen Securityfremen selbst belorbenOrder gar im eigen Haus entwicket werden公司。Aber offensichtlich sind diese Werkzeuge im Hause nicht im Einsatz,denn sonst hätte solcher Code niemals公司ein Produkt gelangen können。Dazu braucht es keine KI,teilweise sind das bessere正则表达式,manchmal ein bisschen统计分析。
Wir beobachten hier als Außenstehende auf der Grundlage der gezeigten Fehlerbilder ein公司Versagen entlang der gesamten软件开发链:
- Auf der Architektur-Ebene(nicht rechteminimal),
- auf der Tool-Ebene(keine Scanner für triviale Fehler,veraltete Dependencies,keine Automation beim Build und Release)
- auf der Packaging-Ebene(die defekten Permissions bei Websense zum Beispiel)
- 和杰德·安德伦·斯特尔(jeder anderen Stelle)在一起的时候,他是一个叫冯·奥·坎·费勒(Fehler auf den Prozess rückschlie en kann)的人。
- Zum Beispiel“kein funktitionierender代码-审查和审计”(“statisch einkompilierte Backdoor-Passworte”,即Cisco das-Dauer-Fehlerbild sind,falled darunter)。
Es sind mithin Managementfehler bei der Führung von Software-Häusern,die sicherheitskritische Software herstellen。Es is Aufgabe des Managements Prozesse einzurichten und zu steuern,die in Mindestmaßan Qualityät sicherstellen。
“Softwarefehler,kann man nichts machen”刺激so nicht–es gibt ganze Klassen von Fehlern,Architektur的死人,在自动扫描过程中,在成长期,durch评论,und durch Testen sicher ausschließen kann公司,这是Aufgabe des Managements,solche Prozesse einzurichten und zu steuern。
所有人中的所有人都是Ergebnis kommen,da-hier verantwortungslose Hackerbuden ohne elementare软件-Entwicklungsprozesse als“安全”-Firmen auftretenHochglanzpackungen abfüllen的und radioaktiven Giftmüll,嗯,在Herz von kritischen Infrastrukturen zu bauen中担任Autobahn für民族国家演员。
Teilweise grenzt die Art der Fehler an mutwillige Sabotage公司,beziehungsweise könnte man es auch mit mutwilliger Sabotage kaum schlimmer machen。
Im聊天witzeln Freunde von mir:“你是10/10公司吗?”
安全-Lücken wird nicht nur eine eindeutige Nummer zugewiesen,die CVE-Nummer,sondernsie bekommen auch einen Schweregrad,书房CVSS-芯.艾因10/10 ist der Maximalgrad,aber im Grunde ist allesüber 8ein公司Totalschaden和komplettes Prozessversagen.
Es gibt nun eine historische CVE-Datenbank,死人nach CVSS分拣员kann,und auch auf Firmen韦Fortinet einschränken公司.
Wer sehen dann für Fortinet eine Reihe von 12费伦mit 10/10,und zwar2024年2次、2021年1次、2019年1次,2017年3次、2016年4次,2005年12次。Das kann man auch mit“Besserung ist nicht erkenbar”zusammenfassen。
“安全专家在Prozess”heißes。Für Business Continuity Management habe ich einmal aufgeschrieben被称为bedeutet:这不是演习。这只是星期二.
Analoge u berlegungen kann man auch für sichere Software-Entwicklungsprozesse anstellen,und es gibt sogar fertige Prozess-Blueprints dafür公司。Weiterhin kann man,wie ich gezeigt habe,an den Fehlerbildern erkennen,welche Schwächen der interne Entwicklungsprozess(魏特欣·坎曼,魏·盖泽伊格特·哈贝,费勒比尔登·埃尔肯恩书房,韦尔奇·施瓦辰·德内特hinsichtlich安全最佳实践帽子,与CVE-Anzahlen和CVSS-Scores erkennen签订合同,以确保公司的姿态。
你是不是在秋天出生的?Denkt mal darüber nach餐厅。
Manche Dinge sind nur durch niedliche Meerschweinchenfotos erträglich zu machen。
