Toch MS-patches beschikbaar ondanks 'patch-stop'

Schijnbaar zijn bij Microsoft de diverse afdelingen niet helemaal optimaal op elkaar afgestemd aangezien er wat tegenstrijdige berichten en acties uit de gelederen van de softwarefabrikant van Redmond voortkomen, zo is te lezen op Slashdot. Microsoft had namelijk aan diverse nieuwssites laten weten dat er in de maand december geen patches voor hun producten op de markt zouden verschijinen. Een specifieke reden waarom dit zo zou zijn, werd niet echt duidelijk gegeven, behalve dat er op dit moment geen patches op de planning staan, zo laat een Microsoft-medewerker aan C|Net weten.

Echter, op dezelfde site is een dag later te lezen dat er tóch een hoop computers automatisch van een patch werden voorzien. Deze patch loste een beveiligingsprobleem op wat aanwezig is in de frontpage-extensies van IIS wat al in november bekend was geworden. Microsoft tast nog in het duister hoe het mogelijk is dat de patch werd verspreid via haar update-service.

De beslissing om geen patches uit te brengen in december is opmerkelijk. In oktober had het bedrijf reeds bekendgemaakt dat patches in de toekomst op een vaste dag in de maand zou verschijnen. Daarnaast zou de kwaliteit van de patches worden verbeterd. Op dit moment zijn er echter nog een aantal bekende veiligheidsproblemen in Internet Explorer aanwezig die in ieder geval de komende maand dus niet zullen worden opgelost:

The company scrambled on Wednesday morning to figure out why a patch had been issued through its Windows Update service, when the software maker had declared on Tuesday that it would not issue any fixes in December.

[...] Microsoft has previously said that it would attempt to make its patching process more intuitive and easy to use. It moved to a fixed schedule of monthly patches to make the process more predictable for network and system administrators.

Reacties (45)

gamecreature 15 december 2003 15:31

Allemaal flauwekul, er geen enkele reden te verzinnen om een patch niet zo snel mogelijk uit te brengen...(Ik ga er wel van uit dat de patch goed is getest !)

Systeembeheerders van server (die voor zo min mogelijk downtime) van hun servers willen zorgen, zouden deze patches elke week of net wanneer het hun uitkomt kunnen installeren... Eventueel zou Microsoft bepaalde prioriteiten aan patches kunnen hangen waardoor server alleen critieke patches dagelijks installeren...

Het is gewoon mogelijk om de update interval/tijdstip in te stellen bij Windows Upate!

MADG0BLIN 15 december 2003 15:10

Vind het zowieso al raar dat ze op vaste dagen gaan patchen. Als er een lek is moet dat toch direct gedicht worden lijkt mij.

En dat laat je dan toch niet liggen. Dacht dat microsoft windows veiliger wou maken, maar zo wil dat niet echt.

Beaves @MADG0BLIN • 15 december 2003 15:23

Natuurlijk, als er een nieuw probleem bekend wordt in de trand van de RPC exploit zal MS natuurlijk zo snel mogelijk met een patch komen, dat is tenminste wel te verwachten. Dat was een erg groot probleem wat erg iedereen die een NT OS gebruikte bedreigde.

Dat ze 1 vaste dag per maand pakken wil alleen maar zeggen dat ze alle minor update's en fixes op die datum releasen i.p.v. op willekeurige tijdstippen zoals ze dat gedaan hebben. Denk dan bijvoorbeeld aan een fix voor een probleem dat je niet kan printen als je een USB scanner via SCSI aansluit o.i.d.

Dat ze het nu een dag per maand doen vind ik een beetje vreemd, op die dag zal het erg druk zijn bij Windowsupdate met als gevolg dat je weer met 1KB per seconde een update kan downloaden. Als ze het verspreid doen is dat verkeer veel meer gespreid.

edit:

@RM-rf:
Een beetje systeembeheerder heeft oplossingen zoals een SUS server draaien die elke dag automatisch controleerd of er update's en/of patches zijn. De clients kijken op hun beurt weer geheel automagisch naar de SUS server voor updates. De systeembeheerder hoeft dus helemaal niets te doen om ervoor te zorgen dat elke pc/server up-to-date is, behalve dan eenmalig een goede oplossing zoals SUS configureren.

Je kan bij SUS dus ook opgeven dat je eerst als beheerder de patches moet vallideren voordat ze verspreid moeten worden. Dit even ter informatie omdat sommige mensen denken dat alles zomaar geinstalleerd word. Iets wat je niet wilt in een bedrijfsomgeving.

Daarnaast is het gewoon de taak van een beheerder om minimaal een keer per week de diverse site's te bezoeken die de laatste problemen op een rijtje zetten + eventuele fixes. Maar ja, gezien de problemen de laatste tijd is de gemiddelde systeem beheerder niet zo handig. Die vergeten gewoon servers etc. te updaten.

akimosan

@Beaves • 15 december 2003 19:47

Daarnaast is het gewoon de taak van een beheerder om minimaal een keer per week de diverse site's te bezoeken die de laatste problemen op een rijtje zetten + eventuele fixes. Maar ja, gezien de problemen de laatste tijd is de gemiddelde systeem beheerder niet zo handig. Die vergeten gewoon servers etc. te updaten.

Als gemiddelde systeembeheerder vergeet ik mijn patches niet zomaar gewoon. Het zijn er simpelweg teveel. Naast het controleren van de updates voor Windows, wat via SUS heel goed werkt, moet ik ook nog eens patches controleren voor applicaties als Office, de productlijn van Adobe (ja, die hebben ook eenzelfde update mogelijkheid als Windows, maar je moet hem toch weer apart controleren.), allerhande server applicaties als SQL Server zowel die van MS als andere producenten, Exchange Server, etc.
MS zou er goed aan doen voor alle MS producten de patches in één overzichtelijke site te presenteren.

Samenvattend: vaak is patchen niet zozeer een taak van vergeten maar eerder door tijdgebrek er niet aan toe komen. Tijd voor een nieuw beroep: Software Update Enigineer

Murtceps @akimosan • 15 december 2003 23:16

Tijd voor een nieuw beroep: Software Update Enigineer

Zal me een enige boel worden dan

Er zijn volgens mij nog zat bedrijven waar niet of nauwelijks updates worden gedraaid.

arjankoole @Beaves • 15 december 2003 16:57

Een beetje systeembeheerder heeft oplossingen zoals een SUS server draaien die elke dag automatisch controleerd of er update's en/of patches zijn.

pardon? denk dat de meeste bedrijven echt geen geld uit gaan geven aan SUS. Sure, de grote bedrijven doen dat wel, en bij die bedrijven verdient zich dat vanzelf terug. maar de meerderheid van de markt heeft daar echt geen budget voor, en ook geen baat.

Daarnaast laat een beetje systeembeheerder niets op 'full-auto' draaien... ik wil weten wat er gebeurt in m'n netwerk. Je ziet mensen onder BSD ook geen portupgrade -a vanuit cron draaien

Elbert @arjankoole • 15 december 2003 17:12

Zo spannend is dat nou ook weer niet...een SUS server.
Hier een kantoororganisatie met zo'n 25 gebruikers met SUS....en juist zo'n standaard oplossing als een SUS server ontlast degene die verantwoordelijk is voor de automatisering.
Maar net hoe je het bekijkt.

Verwijderd @arjankoole • 16 december 2003 07:49

SUS is gratis dus het budget probleem zie ik niet zo. In elk geval moet je de patches toch nog accorderen dus die controle heb je gewoon.

Goldwing1973 @Beaves • 15 december 2003 15:28

Het is me volledig duidelijk waarom MS dat maar een dag per maand doet...

Bill Gates will de rest van de maand de bandbreedte gebruiken voor Kazaa...

ILUsion @Goldwing1973 • 15 december 2003 19:37

volgens mij niet hoor;
eerder threedegrees[uitbreiding van M$ op M$N om met vrienden wat te chatten via een icoon (icoontje is hier niet van toepassing, dat ding pakt de plaats in van 4 icoontjes ofzo) (wat is daar trouwens van geworden??)], daar heeft hij controle over, over Kazaa heeft hij geen macht (tenzij misschien via de illegale versies van Visual Studio en Office ?)

RM-rf @MADG0BLIN • 15 december 2003 15:26

er zit wel degelijk een zeker logica achter de gedachtegang;
een bekend probleem is dat beheerders niet patchen omdat het voor hen te onoverzichtelijk is. eerst weer telkens checken welke updates beschikbaar zijn, welke nieuw zijn en welke men ook moet plaatsen. (en in sommige situatie gaat die beslissing binnen bedrijven ook over meerdere personen)

door hiervoor een vaste dag te kiezen kan je de handeling van het 'patchen' makkelijker inplannen, in plaats van dat beheerders het volledig vrijstaat om telkens weer de updates te controleren kunnen ze op een vast, vooraf inplanbaar tijdstip dit doen en de nieuwset patches inladen.
Waar een derde mee moet beslissen een patch al dan niet te installeren, kan ook deze zich makkelijker hiervoor vrijmaken als hij vooraf weet dat het 'patching tuesday' is.

natuurlijk kan je dit ook op eigen initiatief doen, maar de ervaring wijst juist uit dat mensen dat vergeten, MS probeert hiermee beheerders meer het inplannen van de updates beter te laten 'inplannen'.

@beaves' edit:
zoals je in je laatste zin ook al opmerkte, technisch is er allang een optimale oplossing, maar in de praktijk wordt die niet optimaal toegepast, men 'vergeet' het.

in die zin moet je een 'patching tuesday' opvatten, een in technisch opzicht nutteloze toevoeging, die echter de praktijk van patchen 'handzamer' maakt, juist een vertaling naar al die organisaties die in de praktijk wat minder naar het theorieboek werken (en dat zijn er veel)

duikeend 15 december 2003 16:12

misschien snap ik het niet helemaal maar als er 1 dag is dat IEDEREEN zijn patches gaat halen dan eist dat toch VEEL meer van de update servers? ik bedoel dat alle windows machines op een dag een update gaan halen dan krijgen ze hun eigen Dos attack... of ben ik nu mis...

ILUsion @duikeend • 15 december 2003 17:18

hmm, dit is eigenlijk nog niet zo'n slecht idee

Blaster2, in plaats van de site plat te leggen op de gewone, gewoon alle updates laten downloaden, om zo een DDoS te veroorzaken. Veel kunnen ze er niet tegen doen ...

shlammod @duikeend • 15 december 2003 16:27

Lijkt mij dat de IP adressen of een range worden bijgehouden in een database.. en dan per range uitzenden dat er een update is... voorkom je een DOS mee lijkt mij

EfBe 15 december 2003 15:06

Wel een beetje laat, dit 'ouds'. Patching Tuesday was vorige week... dinsdag

[ti] @EfBe • 15 december 2003 19:00

Dinsdag patchdag, woensdag gehackeddag?

Verwijderd 15 december 2003 17:01

"Microsoft has previously said that it would attempt to make its patching process more intuitive and easy to use. It moved to a fixed schedule of monthly patches to make the process more predictable for network and system administrators."

Jaja, in de toekomst worden worms die gebruik maken van nog onbekende gaten in het Microsoft OS dus op de dag NA deze updates gelaunched, ben je toch al zeker dat je wormpje minstens een maand ongestoord machines kan infecteren...

Go MS, make it even more easy on them...

ILUsion @Verwijderd • 15 december 2003 17:21

Volgens mij gaan ze er lekken bijsteken (als dat mogelijk is) , zodat ze dagelijks een update kunnen geven, zonder veel moeite te doen ...

Verwijderd 15 december 2003 15:10

Nieuws? Dit stond vorige week al op webwereld...

http://www.webwereld.nl/nieuws/17138.phtml

Patch nummer 51 die op 11 november werd uitgebracht, werd pas deze week via de automatische Windows Update aangeboden. Wie met de hand zijn software bijwerkte, kon al eerder de patch installeren.

Hierdoor leek het even dat Microsoft zichzelf tegensprak toen het bedrijf deze week verkondigde dat er in december geen patch uitgebracht zou worden.

Patch 51 is bedoeld om een lek in Microsoft Frontpage Server Extensies te dichten. Systemen die hiervoor kwetsbaar zijn, zijn Windows XP, 2000 en Office XP.

Fevida 15 december 2003 15:13

Geen patches uitbrengen terwijl er bekende lekken zijn in o.a. IE.... en dat zonder de reden bekend te maken. Zou dit de aanloop naar SP2 kunnen zijn dan? Misschien dat MS een aantal patches wil opsparen en alleen met SP2 wil verspreiden om er op die manier voor te zorgen dat je SP2 wel moet installeren (icl. een aantal grote verandering in XP) om een beetje veilig te blijven.

E-jey 15 december 2003 15:23

Hadden ze niet laats beloofd om binnen 2 dagen oid een patch beschikbaar te stellen als er een bug werd ondekt?
Ze zouden sneller patches uitbrengen als Linux

Dat was dus gewoon marketig gelul. Waarom zou je een maand lang geen patches uitbrengen? Ze zitten zo te hameren dat windows veiliger zou zijn/worden.

Ik dacht dat ms nu wel door had dat ze het beste zo snel mogelijk patches uit konden brengen. Ik snap best dat een bedrijf voornamelijk als doel heeft om winst te maken maar bij MS krijg altijd het gevoel alsof het ze geen ruk kan schelen hoe veilig hun product is. Als het maar verkoopt en ze er veel winst op maken is het goed. Ik hoop dat de bugs er snel uit gehaald worden. Zelf gebruik ik trouwens win2k nog altijd naar volle tevredenheid

YaPP 15 december 2003 15:43

Microsoft had namelijk aan diverse nieuwssites laten weten dat er in de maand december geen patches voor hun producten op de markt zouden verschijinen.

[..]

Een specifieke reden waarom dit zo zou zijn, werd niet echt duidelijk gegeven, behalve dat er op dit moment geen patches op de planning staan, zo laat een Microsoft-medewerker aan C|Net weten.

..daar gaat dan ook meteen je days-of-risk die klanten lopen..

...en de marketingpraat van balmer lijkt hierbij toch wel in het niets te vallen...

...patches staan toch nooit in de planning, maar werk je direct aan als je een probleem hebt. (bijvoorbeeld een gevonden veiligheidslek) ...en dan in 24 uur tijd met een oplossing komt, zoals beloofd

Verwijderd 15 december 2003 16:57

Ik vind het ook een beetje raar iets, 'een patch-stop'. Als er toch een bug is dan release je er toch een patch voor? Daarmee ga je toch niet wachten...

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (45)

Sorteer op:

Weergave: