DigiNotar-patch voor Windows XP en Server 2003 werkt niet altijd
Systemen met Windows XP of Windows Server 2003 blijken in sommige gevallen nog gewoon te werken met de omstreden root-certificaten van DigiNotar. Door een fout van Microsoft werkt de aanvankelijke patch namelijk niet in alle gevallen.
Naar nu blijkt hebben wellicht niet alle systemen met Windows XP of Windows Server 2003 de juiste patch van Microsoft ontvangen. Hierdoor zijn op deze systemen misschien niet automatisch alle root-certificaten van DigiNotar geblokkeerd.
De softwarefabrikant heeft bevestigd dat een andere update, die niet alle certificaten blokkeerde, voorrang heeft gekregen en dat de juiste update niet automatisch wordt geïnstalleerd als die eerder aangeboden patch is geïnstalleerd.
Microsoft heeft inmiddels een nieuwe patch voor XP en Server 2003 vrijgegeven. De nieuwe update wordt automatisch via Windows Update aangeboden voor de getroffen systemen. Als Windows Update niet aanstaat, moet een beheerder de update zelf downloaden en installeren. De systemen moeten wel rebooten om de update effectief te laten zijn. Microsoft benadrukt dat het probleem niet speelt voor andere versies van zijn besturingssysteem.
DigiNotar kwam in opspraak toen bleek dat een Iraanse hacker deze zomer had ingebroken bij de Nederlandse certificatenmaker. Dat was mogelijk vanwege de slechte beveiliging. De hacker genereerde 531 valse ssl-certificaten, die onder meer misbruikt zijn door de Iraanse overheid om eigen burgers te bespioneren.
Omdat de systemen voor het maken van particuliere certificaten en overheidscertificaten niet gescheiden bleken te zijn, zegde de Nederlandse overheid het vertrouwen in DigiNotar op. Na een onderzoek heeft toezichthouder OPTA besloten om alle zogenoemde gekwalificeerde DigiNotar-certificaten ongeldig te verklaren.
Reacties (28)
Volgens die hacker zelf (met een veel te groot ego) was 't gewoon de eerste CA die op een lijstje van hem stond. Een lijstje waarop ie eventueel te hacken CA's had staan.DigiNotar kwam in opspraak toen bleek dat een Iraanse hacker deze zomer had ingebroken bij de Nederlandse certificatenmaker. Dat was mogelijk vanwege de slechte beveiliging
Da's dus wel erg toevallig dat dan alleen DigiNotar zo slecht beveiligd zou zijn.
[Reactie gewijzigd door kimborntobewild op dinsdag 20 september 2011 09:12]
Maar over de beveiliging van DigiNotar. Oke dit was slecht maar ik geloof best dat er nog wel meer CA's zijn die de beveiliging slecht voor elkaar hebben. Als hij zegt dat dit de eerste op zijn lijstje is had hij misschien wel een andere CA gehackt als DigiNotar te goed was beveiligt?
Dit heeft echt totaal niets met geert wilders te maken.
Sun Ich is blijkbaar erg ijdel net als een bepaalde vlieg in farsi
Maar Sebrenica en Geurtje Wilders stonden hem niet aan en Diginotar was zo lek als
de rest in politiek verkozen ITC projecten of Websites
Die hacker is trouwens wel erg stil geworden nadat bleek dat zijn GlobalSign hack nergens op sloeg (hij zou alleen een geisoleerde Japanse webserver van GlobalSign hebben gehacked). Hij heeft op twitter een van zijn accounts leeggehaald. Zijn andere account is ook al ruim een week stil. Zijn ymail account zal ook vast wel gevorderd zijn door de Amerikaanse justitie.
Diginotar mag nu zelf geen certificaten meer aanmaken. Ze leveren nu certificaten van Comodo. Laat de diginotar hacker nou ook comodo hebben gehacked.
Zie Webwereld. Dat zou zo ongeveer mijn laatste keus zijn geweest. Gelukkig blijken overheidsdiensten enz. hier niet in mee te gaan.
"AMSTERDAM - Het bedrijf DigiNotar is dinsdag door de rechtbank in Haarlem failliet verklaard. Dat heeft het moederbedrijf Vasco Data Security bekendgemaakt.
DigiNotar kwam recentelijk in opspraak, toen bleek dat de veiligheidscertificaten die het uitgaf voor websites, niet waterdicht waren."
Er is geen automatische koppeling van je browser naar de aankondigingen van de rechtbank
Volgens het MS KB artikel worden dan de volgende 2 certificaten niet disabled, als je de patch van voor 19 september hebt:
DigiNotar Root CA
DigiNotar Root CA G2
edit: dank@wilhagen
[Reactie gewijzigd door Zaphod69 op dinsdag 20 september 2011 16:40]
Zie http://support.microsoft.com/kb/2616676On September 19, 2011, we rereleased update 2616676 to address this issue. If you are running Windows XP or Windows Server 2003 and you have not applied updates 2524375, 2607712, and 2616676, you should install cumulative update 2616676.
Die doet het dus wel goed.
Overigens staat in dat lijstje XP er ook gewoon bij hoor. Dit is de (goede) versie voor XP: http://www.microsoft.com/...splaylang=en&id=27304 (Windows 2003: http://www.microsoft.com/...splaylang=en&id=27355)
Maar nu doet mijn studielink.nl het bijvoorbeeld niet. Hoe krijg ik die nieuwe certificaten gedownload?
Ze waren al in hun broek aan het schijten toen de eerste patch uitkwam (omdat ze blijkbaar nog nooit van patchmanagement gehoord hebben...). Zie nieuws: Overheid dwingt vertraagde Windows Update af bij Microsoft
Nu kunnen ze blijkbaar nog niet feestvieren...
Ik hoop ze al het slechte toe bij de overheid. Alleen met zulk falen wordt het duidelijk dat het anders moet
Ik weet niet eens of dit wel zo'n slimme zet is, want DigiNotar is voor zover ik weet gekoppeld aan de belastingdienst. Wellicht valt daar nog wat te halen...
Op dit item kan niet meer gereageerd worden.
Populair: Android Tablets Samsung Websites en communities Mobiele telefoons Google Microsoft Sony Games Politiek en recht
© 1998 - 2013 Tweakers.net B.V. Contact Over Tweakers Jouw privacy Algemene voorwaarden Cookies
Tweakers wordt uitgegeven door De Persgroep en wordt gehost door True
