Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 31 reacties

Apple heeft donderdag een beveiligingsupdate uitgebracht voor zijn Tiger- en Leopard-besturingssystemen. Met de update wordt onder meer een kritiek dns-lek gedicht dat al sinds begin juli bekend was.

Security Update 2008-005 is beschikbaar voor zowel de client- als de serverversies van Mac OS X 10.4.11 en Mac OS X 10.5.4. De omvang van de update varieert van 65MB voor de Leopard-patch tot 180MB voor de Intel-serverupdate voor Tiger. De update kan worden binnengehaald via het automatische updatesysteem in het besturingsysteem of handmatig via de downloadsectie op Apple.com.

Het meest opvallende aan de update is dat Apple het cache poisoning-lek dicht dat vorige maand in het nieuws kwam. Dit lek maakt het voor hackers mogelijk om het dns-systeem binnen enkele seconden zo aan te passen dat bijvoorbeeld websitebezoekers ongemerkt naar phishingsites kunnen worden geleid. Exploits voor het dns-lek zijn sinds een week in omloop. Waar veel fabrikanten al snel een patch vrijgaven voor dit probleem uitgaven, heeft Apple dit keer langer op zich laten wachten. Zowel de de facto standaard Bind als Microsofts dns-server waren kwetsbaar voor de aanvallen. De laatste update van Apple ververst Bind dan ook tot versie 9.4.2-P1.

Moderatie-faq Wijzig weergave

Reacties (31)

Op patch gebied wil Apple overigens wel vaker achter lopen op 'de rest', dat is eigenlijk best wel jammer.

Dan kun je wel een mooi ontworpen OS hebben (Unix based etc), maar als je lekken een ruime week open laat staan dan ben je toch niet hanidg bezig.

Aan de andere kant is het wel zo dat Microsoft ook wel eens wacht met het pleisteren van lekken, alleen zijn deze vaak (maar niet altijd) nog niet publiek en dan is het minder een issue.

Edit:
* Little Penguin gaat voor deze stelling af op berichtgeving op t.net en diverse andere ICT gerelateerde sites.

[Reactie gewijzigd door Little Penguin op 1 augustus 2008 14:54]

Als je tenminste de moeite zou doen om je stelling te onderbouwen dan zou je zien dat Apple niet achterloopt op de rest.

Google maar eens, en om je te helpen alvast deze bron: link

Gemiddelde tijden om te patchen H1 2007:

Vista: ca 10 dagen
Mac OSX + Win XP: ca 20 dagen
Ununtu: ca 30 dagen
Novell: ca 50 dagen
...
Het zijn trouwens wel scores die nogal wisselen van update tot update. Niet iedereen is altijd even rap met het doen van een update. Niet zo raar aangezien bij sommige updates er meer dingen zijn die er hinder van ondervinden of kunnen ondervinden dat men daar toch even wat meer tijd in steekt om te zorgen dat er geen zaken stuk gaan. Meteen een update voor je OS uitgeven is meestal geen slimme tactiek, ook updates zijn onderhevig aan kwaliteitscontroles e.d.
Als verse Mac fanboy moet ik toch echt bekenen dat deze bug nogal kritisch is en dat OSX zover achter loopt is beschamend.

Ter vergelijking: Bij Cisco en Microsoft hadden ze de patch al klaar in enkele weken tijd, plus uitgerold binnen de gestelde periode van Cert.

Hier hadden ze veel meer prioriteit aan moeten geven, aangezien we het hier hebben over eenvoudige misleidingen van groepen mensen te gelijkertijd op een eenvoudige manier.
Waarom? Ik denk dat nog geen half procent van alle Macs een BIND server draait, en van die half procent staat waarschijnlijk 99% in een LAN dat niet van buitenaf bereikbaar is. Sneller patchen is natuurlijk fijn (als het tenminste in 1x goed gebeurt) maar je kunt ook overdrijven. Nu komt de patch binnen redelijke termijn, gebundeld met een hele berg andere patches en zal ie vast beter getest zijn dan wanneer ze hem binnen 2 dagen hadden gepushed.
Lees dan even deze bron na:

http://www.macworld.com/a...93/2008/07/apple_dns.html

Deze is toch iets minder lovend over Apple
http://www.zdnet.com.au/n...30061744,339290928,00.htm
Een deze iets minder lovend over de DNS patch.

Buiten dat ging het hier meer om de algemene stelling dat Apple aardig rap patcht of liever gezegd de bewering van Little Penguin dat dat nou juist niet gebeurd. Het gaat dus nu even niet specifiek om deze DNS bug.
IBM heeft overigens nog geen enkele van z'n talloze besturingssystemen gepatched. Er is sinds gisteravond een patch beschikbaar, maar downloaden lukt maar een handvol mensen.
de update bevat naast de genoemde cache poisoining patch ook andere bug fixes.

de dns cache poisoning is vooral van belang voor os x server omdat daar de DNS bind server draait. normaalgesproken draait de consument geen bind server op haar mac (default uit); voor de client is deze kritieke bug dus minder relevant.

vraag me overigens ook af hoe vaak os x server gekozen wordt als oplossing om DNS bind daemon te draaien. zijn over het algemeen toch linux/solaris boxen die dit internet klusje op zich nemen bij de ISP's.

edit@ppl: de patch heeft alleen invloed op de server side (BIND) niet op de resolver op de client

[Reactie gewijzigd door BreezahBoy op 1 augustus 2008 16:10]

Op de clients vindt je wel de BIND tools die met deze update dus ook worden voorzien van de cache poisoning patch. Voor de security freaks een fijne gedachte :)

Voor diezelfde freaks is er een andere veelbesproken bug gefixt, namelijk de bug die ervoor zorgde dat je via ARD remote access kon verkrijgen als root. Een quickfix hiervoor was vreemd genoeg niet het uitzetten van ARD maar juist het aanzetten van ARD. Door het aanzetten werd de boel wat strakker afgesteld waardoor de bug ineens niet meer functioneerde.

[Reactie gewijzigd door ppl op 1 augustus 2008 15:06]

Ik noem mezelf liever expert dan freak :Y)
Anywayz, het probleem is dat mijn locale cache vervuild kan worden doordat iemand mijn requests kan vervuilen.

Thuis heb ik een gesloten systeem naar de DNS servers van mijn ISP en die blijkt hier al voor gepatched. Op mijn werk kunnen er al meer mensen aan mijn base station hangen en mijn DNS lookups verklooien. Bij de McDonalds, StarBucks, Bibliotheek, <where ever> kan ik hier niet zo goed vanuit gaan en zou er een 'freak' :+ kunnen zijn die dit loopt uit te testen op mij.

Nee dank je... doe mij dan toch maar de security patch op mijn appel

[Reactie gewijzigd door VisionMaster op 1 augustus 2008 15:24]

Dan heb je bar weinig baat bij die security patch. Het is gewoon een feature van DNS omdat ze bij het design het begrip "security" niet hebben meegenomen. Als je dan toch in zit over vervuiling van je DNS stuff en noem maar op dan zou je het gebruik van DNSSEC flink moeten promoten imho. Dat is geen silver bullet maar het doet al wel heel veel op security gebied, niet zo erg moeilijk aangezien er nu eigenlijk helemaal niets gebeurd.

Ook met deze security patch van Apple ben je vatbaar voor dit soort zaken omdat DNS geen beveiliging heeft en er amper servers zijn die DNSSEC implementeren. Het is dus wel bijzonder na´ef om te denken dat je nu met deze patch safe zit, dat is dus absoluut niet zo.
Ik ben altijd bezorgt om mijn computer beveiliging. En dat zal ik na de fix ook altijd blijven. Zeker nu ik gister heb gelezen dat de fix niet helemaal hetzelfde doet als op andere platformen, in andere woorden... de fix heeft niet voldoende effect.

Ik ben de laatste die zou zeggen dat de DNS problemen met deze fix de wereld uit zijn. Waar het mij omgaat is dat iemand veel meer moeite er in moet steken om eenvoudig misbruik te kunnen maken.

100% veiligheid bestaat niet, maar een aardig goede verbetering doorvoeren lijkt me niet te min belangrijk.

En ja, ik ben DNSSEC aanhanger. Ik ben niet echt een evangelist, zoals collega's van me wel zijn. :) Ik hoop ook zeker dat DNSSEC meer aangeboden zal worden. Het probleem ligt bij DNSSEX dan juist weer vooral bij de gebruikers.

Een eindgebruiker snapt die details meestal niet en wil gewoon internetten. Dat beterend dus eerst door een zooi vragen van het systeem heen worstelen waarin gevraagd wordt om het DNS certificaat van e provider te installeren (of die van Starbucks of die van John-Doe-the-Hacker).
Moet het niet zijn "Begin vorige maand" het is immers 1 Augustus vandaag.

Apple had deze update had naar mijn mening eerder moeten vrijgeven (of meer tijd in steek om deze te maken) want een DNS lek is erg gevaarlijk.
Akkoord, maar hoeveel Macs gaan daadwerkelijk een gevaar vormen voor deze DNS bug?? Clients sowieso niet.

[Reactie gewijzigd door multimediacar op 1 augustus 2008 14:17]

Een update van een lek waarvan nog immer niet bekend is wat het lek precies is, is ook erg gevaarlijk. Het is maar net welke van de 2 kwaden je voorkeur heeft.

EDIT: Een goede reden waarom je blij moet zijn dat Apple dat niet zo snel heeft gedaan: DNS patch causes BIND blunder.

[Reactie gewijzigd door ppl op 1 augustus 2008 21:58]

lees: vorige maand .. Juli .. het lek heeft dus een maand lang open gestaan .. absoluut niet acceptabel van Apple...

Wat mij verder opvalt .. OSX updates zijn gigantisch? Waarom is dit? Doen zij niet patchen/incremental applyen?
De updates zijn zo groot omdat Apple verschillende updates bundelt die op een bepaald moment (onregelmatig, dat wel) worden uitgebracht. Deze update repareert misschien wel een gat of 20. Microsoft laat je voor elk gat een appart bestand downloaden. Het is maar hoe je het naar je gebruiker brengt. Het verschil is niet zo groot. Daarnaast is het bestand 2x zo groot omdat het voor 4 processorarchitecturen wordt uitgebracht (PPC_32, PPC_64, x86 en x86-64)
Ok .. kan begrijpen dat ze meerdere gaten willen dichten maar soms zie ik ook heel expliciet voor 1 lek ... en dan nog een groot bestand.

Dat ze een mutli-arch pakket aanbieden voor losse download is goed .. voorkomt confussie. Maar zelfs via OSX updater zelf download hij multi-arch pakketten.

Bandbreedte .. nom nom nom
Ik denk dat het komt omdat op windows bestanden echt gepatch worden. Weet niet precies hoe dat gaat soit.
Op OS X denk ik dat de hele bundel wordt vervangen.
Trouwens over het algemeen vind ik OS X programma's wel nogal groot.
itunes: 130MB
Voorvertoning: 70MB
quicktime: 29MB

Ik begrijp dat er in 1 applicatie verschillende binaries zitten voor de verschillende CPU's.
Maar dan nog, een muziek speler zou voldoende moeten hebben met 20MB.
Precies dat denk ik dus ook .. patching <> replacing

Echter ik ben geen OSX expert .. Windows is meer mijn gebied :)
niet als al de rest op amper een paar dagen het lek al had gedicht |:(
Ahum, dat moest dus 'begin juli' zijn...
"Met de update wordt onder meer een kritiek dns-lek gedicht dat al sinds begin juli bekend was"

Tel daar dus gerust 1 maand bij op!
Het is namelijk overal ter wereld inmiddels augustus.
Misschien niet op de apple kalender.

Laat apple maar gauw zijn schaamte petje weer opzetten!!
Ja, want een update installeren met een fix waarvan totaal niet bekend is wat het fixt omdat er totaal niets bekend is van wat het lek nou precies is, is ook bijzonder secure om te installeren !

Er zijn niet voor niets zo weinig systemen "gepatcht". Zolang men niet weet wat er precies loos is en wat de fix nou precies fixt is ook het installeren van de patch een security risk waardoor er heel wat mensen zijn die het uitstellen. Er zijn inmiddels al wel vermoedens geplaatst wat het lek nou zou kunnen inhouden maar meer dan dat weten we nog niet. Je zou in dat opzicht dus kunnen beredeneren dat de rest van de wereld zich zou moeten schamen omdat ze klakkeloos een of andere fix die een lek dicht waarvan helemaal niets bekend is overneemt en doorpusht.

In deze geldt de veelvuldig gemaakte uitspraak "wat is wijsheid?".

Buiten dat zijn de systemen van Apple hoofdzakelijk desktopsystemen. Ik ben nog geen desktop tegen gekomen die een DNS server draait. Enige wat je op de desktopsystemen vindt zijn dingen als BIND tools zodat je tools als dig, host, etc. tot je beschikking hebt. Voor dat soort systemen is zo'n bug een minder big deal dan bij een DNS server. Om die reden waren een aantal fabrikanten/softwarebouwers/distrobouwers (of hoe je het nog meer noemen wilt) ook niet zo heel rap met het uitbrengen van een update, afgezien van het eerder genoemde verhaal.

Overigens zijn er wel meer mensen geweest die net als mensoc het nogal een schande vonden dat fabrikant x er "zo lang" over deed om die patch uit te geven. Jammer dat die mensen er niet even bij stil staan dat er nog zoiets bestaat als kwaliteit en dat er toch heel veel fabrikanten het nodige willen checken om de kwaliteit geen geweld aan te doen. Dat er wat onverlaten zijn die kwaliteit maar iets sufs vinden betekent niet dat de rest van de wereld die houding ook maar moet aannemen want dan gaan er wel heel vaak, heel veel dingen stuk.

@hieronder: Dan Kaminsky heeft de details niet beschikbaar gemaakt dat is waar ik op doel, niet dat het lek onbekend was. Om dat er geen details beschikbaar zijn van de lek maar er wel een of andere patch is maakt dat het interpreteren van die patch lastig. Wat doet die patch nou eigenlijk en is het wel zinvol wat het doet, is het niet stiekem iets kwaadaardigs wat het doet? Je weet de details van het lek niet dus kun je niet checken of de patch ook echt datgene patcht wat het zegt dat het patcht. Dat is wat het tot een security risk maakt en dat deel van mijn post heb je kennelijk dus niet begrepen.

Daarnaast zijn er wel vaker bedrijven geweest die als laatste een patch uitgaven (tja, iemand moet de laatste zijn) en dat soms ook heel wat later dan de rest deden. Dat kan gebeuren om diverse redenen. Als je een patch hebt wil je graag weten wat het precies doet en wat voor gevolgen het heeft. Je zult dus het e.e.a. moeten gaan testen. Als je dan je eigen patch gemaakt hebt moet dat ook weer getest worden. In dat hele proces moet je je er wel zeker van zijn dat er niet stiekem andere onderdelen zijn die ook invloed hebben of hinder van de bug danwel de patch ondervinden. Dat kan bij sommige dingen wat langer duren omdat het wat complexer of onduidelijker is. Soms is het ook gewoon een onderschatting van het probleem en heel soms is het gewoon luiheid.

Het is mij gewoon te makkelijk om bij dit soort problemen een fabrikant het zwaar aan te rekenen dat ze als laatste zijn of dat ze later dan de rest reageren. Zeker als je niet precies weet wat er nou aan de hand is omdat de details achtergehouden worden is het een hele verstandige beslissing om gewoon de kat uit de boom te kijken of zelf onderzoek te doen naar het probleem. Dat kost nou eenmaal wat meer tijd. Verhaaltje is van toepassing op allerlei bedrijven van vliegtuigbouwers tot softwarebouwers.

Buiten dat is het niet specifiek een bug, dat cache poisoning is onvermijdelijk aangezien DNS ontworpen is zonder dat men uberhaupt aan security dacht. Tegenwoordig is daar al weer sinds jaren een oplossing voor in de vorm van DNSSEC. Je kunt dus eerder een heleboel bedrijven gaan lopen blamen dat ze geen DNSSEC implementeren terwijl ze toch de mogelijkheid hebben (BIND en bijv. NSD supporten DNSSEC alweer een tijdje). Het probleem is wat groter dan alleen deze bug en dat men geen DNSSEC implementeert is eigenlijk veel zwaarder aan te rekenen.

EDIT: kwam ook nog een artikel van ZDNet Australia tegen die demonstreert waarom snel patchen niet erg slim kan zijn: DNS patch causes BIND blunder.

[Reactie gewijzigd door ppl op 1 augustus 2008 21:57]

Deze lek was al van in Maart bekend en Apple heeft als allerlaatste fabrikant gereageerd. Verder gebruiken ze gewoon open source producten zoals BIND in hun software, dus als deze goed ge´ntegreerd is zou een versie-update geen probleem mogen geven.

Lees anders dit artikel eens door: http://www.macworld.com/a...93/2008/07/apple_dns.html
DNSSEC wordt niemand echt vrolijk van om te implementeren, en in weze is er ook geen echte reden voor, het huidige systeem werkt prima. Moet je niet dit soort issues hebben natuurlijk, maar met DNSSEC zul je vast ook wel wat te exploiten vinden, het is en blijft software.
Ondertussen is duidelijk dat de patch niet eens goed werkt.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True