DigiNotar-patch voor Windows XP en Server 2003 werkt niet altijd

Systemen met Windows XP of Windows Server 2003 blijken in sommige gevallen nog gewoon te werken met de omstreden root-certificaten van DigiNotar. Door een fout van Microsoft werkt de aanvankelijke patch namelijk niet in alle gevallen.

Naar nu blijkt hebben wellicht niet alle systemen met Windows XP of Windows Server 2003 de juiste patch van Microsoft ontvangen. Hierdoor zijn op deze systemen misschien niet automatisch alle root-certificaten van DigiNotar geblokkeerd.

De softwarefabrikant heeft bevestigd dat een andere update, die niet alle certificaten blokkeerde, voorrang heeft gekregen en dat de juiste update niet automatisch wordt geïnstalleerd als die eerder aangeboden patch is geïnstalleerd.

Microsoft heeft inmiddels een nieuwe patch voor XP en Server 2003 vrijgegeven. De nieuwe update wordt automatisch via Windows Update aangeboden voor de getroffen systemen. Als Windows Update niet aanstaat, moet een beheerder de update zelf downloaden en installeren. De systemen moeten wel rebooten om de update effectief te laten zijn. Microsoft benadrukt dat het probleem niet speelt voor andere versies van zijn besturingssysteem.

DigiNotar kwam in opspraak toen bleek dat een Iraanse hacker deze zomer had ingebroken bij de Nederlandse certificatenmaker. Dat was mogelijk vanwege de slechte beveiliging. De hacker genereerde 531 valse ssl-certificaten, die onder meer misbruikt zijn door de Iraanse overheid om eigen burgers te bespioneren.

Omdat de systemen voor het maken van particuliere certificaten en overheidscertificaten niet gescheiden bleken te zijn, zegde de Nederlandse overheid het vertrouwen in DigiNotar op. Na een onderzoek heeft toezichthouder OPTA besloten om alle zogenoemde gekwalificeerde DigiNotar-certificaten ongeldig te verklaren.

Door Wilbert de Vries

Feedback • 20-09-2011 09:02 28

20-09-2011 • 09:02

28

Lees meer

Belgische overheid heeft nog 15.000 pc's op Windows XP draaien
Belgische overheid heeft nog 15.000 pc's op Windows XP draaien Nieuws van 7 maart 2014
Certificaatautoriteit ANSSI verstrekte vals Google-certificaat
Certificaatautoriteit ANSSI verstrekte vals Google-certificaat Nieuws van 8 december 2013
'Hacker kwam door verouderde cms-software Diginotar binnen'
'Hacker kwam door verouderde cms-software Diginotar binnen' Nieuws van 18 november 2012
Onderzoeksraad: ict-beveiliging overheid moet flink beter
Onderzoeksraad: ict-beveiliging overheid moet flink beter Nieuws van 28 juni 2012
KPN haalt site Gemnet offline na beveiligingsprobleem - update
KPN haalt site Gemnet offline na beveiligingsprobleem - update Nieuws van 8 december 2011
Tweede Kamer wil 'ict-brandweer'
Tweede Kamer wil 'ict-brandweer' Nieuws van 14 oktober 2011
Gehackte ssl-autoriteit DigiNotar is failliet verklaard
Gehackte ssl-autoriteit DigiNotar is failliet verklaard Nieuws van 20 september 2011
Ministers: geen ernstige gevolgen intrekken DigiNotar-certificaten
Ministers: geen ernstige gevolgen intrekken DigiNotar-certificaten Nieuws van 17 september 2011
Nederlandse hackers willen meer bevoegdheden voor Govcert
Nederlandse hackers willen meer bevoegdheden voor Govcert Nieuws van 15 september 2011
OPTA verklaart gekwalificeerde certificaten DigiNotar ongeldig
OPTA verklaart gekwalificeerde certificaten DigiNotar ongeldig Nieuws van 14 september 2011
Ministerie onderzoekt stelsel ssl-certificaten
Ministerie onderzoekt stelsel ssl-certificaten Nieuws van 13 september 2011
Smartphones en tablets blijven kwetsbaar voor valse ssl-certificaten
Smartphones en tablets blijven kwetsbaar voor valse ssl-certificaten Nieuws van 11 september 2011
Apple brengt DigiNotar-patch voor OS X uit
Apple brengt DigiNotar-patch voor OS X uit Nieuws van 10 september 2011
Politiek wil debat over ict-veiligheid bij overheid na DigiNotar-hack
Politiek wil debat over ict-veiligheid bij overheid na DigiNotar-hack Nieuws van 7 september 2011
Browsers gaan foutmeldingen geven bij alle ssl-certificaten DigiNotar
Browsers gaan foutmeldingen geven bij alle ssl-certificaten DigiNotar Nieuws van 3 september 2011
Overheid zegt vertrouwen in gehackte ssl-autoriteit op
Overheid zegt vertrouwen in gehackte ssl-autoriteit op Nieuws van 3 september 2011
Meer producten en artikelen
Besturingssystemen Microsoft Windows Beveiliging Encryptie

Reacties (28)

-Moderatie-faq
28
28
12
3
0
2
Wijzig sortering
Xubby 20 september 2011 09:19
Op deze win xp sp3 us versie is de 1e DigiNotar root distrusted.
Volgens het MS KB artikel worden dan de volgende 2 certificaten niet disabled, als je de patch van voor 19 september hebt:
DigiNotar Root CA
DigiNotar Root CA G2
Verwijderd 20 september 2011 09:28
Ik heb de patch op mijn xp-machine nog niet geinstalleerd. Is het wijs deze (kb2616676) te weigeren en te wachten op de herinnering? Of moet ik dan juist de herinnering uitzetten? In het lijstje van MS waarnaar in het artikel wordt gelinkt zie ik namelijk geen XP-update staan.

edit: dank@wilhagen

[Reactie gewijzigd door Verwijderd op 23 juli 2024 06:41]

wildhagen
@Verwijderd20 september 2011 09:55
Het nu nog weigeren van die patch is zeer zeker niet slim, want de nieuwe fix (die gisteren is uitgekomen) heeft namelijk hetzelfde KB-nummer ;)
On September 19, 2011, we rereleased update 2616676 to address this issue. If you are running Windows XP or Windows Server 2003 and you have not applied updates 2524375, 2607712, and 2616676, you should install cumulative update 2616676.
Zie http://support.microsoft.com/kb/2616676

Die doet het dus wel goed.

Overigens staat in dat lijstje XP er ook gewoon bij hoor. Dit is de (goede) versie voor XP: http://www.microsoft.com/...x?displaylang=en&id=27304 (Windows 2003: http://www.microsoft.com/...x?displaylang=en&id=27355)
SuperDre @Verwijderd20 september 2011 09:38
ik zou niet weten waarom je uberhaupt deze patch zou weigeren...
kimborntobewild 20 september 2011 09:11
DigiNotar kwam in opspraak toen bleek dat een Iraanse hacker deze zomer had ingebroken bij de Nederlandse certificatenmaker. Dat was mogelijk vanwege de slechte beveiliging
Volgens die hacker zelf (met een veel te groot ego) was 't gewoon de eerste CA die op een lijstje van hem stond. Een lijstje waarop ie eventueel te hacken CA's had staan.
Da's dus wel erg toevallig dat dan alleen DigiNotar zo slecht beveiligd zou zijn.

[Reactie gewijzigd door kimborntobewild op 23 juli 2024 06:41]

Verwijderd @kimborntobewild20 september 2011 09:14
Het was toch een Iraanse hacker? Hoe zou hij op zo'n idee komen om iets in NL te gaan hacken?
Rembert @Verwijderd20 september 2011 10:01
Dat was toeval. Maar achteraf kwam hij achter wat - vanuit zijn oogpunt - misstanden in Nederland. In eerste instantie Sebrenica waarbij Nederland iets van 1800 moslims geruild zou hebben voor 30 Nederlanders waarna die moslims vermoord werden. En daarna ontdekte hij Wilders.

Die hacker is trouwens wel erg stil geworden nadat bleek dat zijn GlobalSign hack nergens op sloeg (hij zou alleen een geisoleerde Japanse webserver van GlobalSign hebben gehacked). Hij heeft op twitter een van zijn accounts leeggehaald. Zijn andere account is ook al ruim een week stil. Zijn ymail account zal ook vast wel gevorderd zijn door de Amerikaanse justitie.

Diginotar mag nu zelf geen certificaten meer aanmaken. Ze leveren nu certificaten van Comodo. Laat de diginotar hacker nou ook comodo hebben gehacked.
Zie Webwereld. Dat zou zo ongeveer mijn laatste keus zijn geweest. Gelukkig blijken overheidsdiensten enz. hier niet in mee te gaan.
postbus51 @Rembert20 september 2011 18:02
Diginotar is volgens Vasco nu ook falliet
Hylix @Verwijderd20 september 2011 09:15
Volgens mij had het er iets mee te maken dat hij het niet goed vond hoe Nederland zich gedroeg denk b.v. aan geert wilders.

Maar over de beveiliging van DigiNotar. Oke dit was slecht maar ik geloof best dat er nog wel meer CA's zijn die de beveiliging slecht voor elkaar hebben. Als hij zegt dat dit de eerste op zijn lijstje is had hij misschien wel een andere CA gehackt als DigiNotar te goed was beveiligt?
Psycho_Mantis @Hylix20 september 2011 09:49
Zoals kimborntobewild zegt, DigiNotar stond bovenaan de CA lijst van firefox en de hacker begon daar bovenaan.
Dit heeft echt totaal niets met geert wilders te maken.
postbus51 @Psycho_Mantis20 september 2011 18:00
Raar dacht dat -- (c) 2005 TURKTRUST bilgi iletisem -- etc ... de eerste was

Sun Ich is blijkbaar erg ijdel net als een bepaalde vlieg in farsi

Maar Sebrenica en Geurtje Wilders stonden hem niet aan en Diginotar was zo lek als
de rest in politiek verkozen ITC projecten of Websites
Verwijderd @Hylix20 september 2011 09:17
Nederland 'gedraagt' zich niet goed dus ga je maar lopen hacken?
Verwijderd @Verwijderd20 september 2011 11:54
Waarschijnlijk omdat wij Nederlanders erg naïef zijn. Pakistan kon ook zo de plannen voor een kernbom bij ons meenemen.
Verwijderd 20 september 2011 10:19
Nu heb ik deze update geinstalleerd en staan ze inderdaad in not trusted certificaten.
Maar nu doet mijn studielink.nl het bijvoorbeeld niet. Hoe krijg ik die nieuwe certificaten gedownload?
hackerhater @Verwijderd20 september 2011 11:43
Niet. De overheid moet de certificaten van studielink vervangen.
Rann 20 september 2011 13:00
Updateje over diginotar

http://www.destentor.nl/r...ar-failliet-verklaard.ece
Krylinck @Rann20 september 2011 14:28
Dat is inderdaad heel interessant, maar het artikel waar je naar linkt geeft geen reden op voor de faillietverklaring. Ik kan er wel een bedenken: je moet vier jaar vooruitbetalen voor zo'n certificaat. Dat betekent dat veel mensen zich nu, om het even populistisch te zeggen, nogal genaaid voelen. Mijn certificaat loopt nog tot 2013. Ze zagen de claims dus al aankomen en je failliet laten verklaren is dan wel een gemakkelijke en doeltreffende oplossing.

Ik weet niet eens of dit wel zo'n slimme zet is, want DigiNotar is voor zover ik weet gekoppeld aan de belastingdienst. Wellicht valt daar nog wat te halen...
WilliamP 20 september 2011 09:19
Is DigiNotar niet gewoon failliet?
carpcatcher @WilliamP20 september 2011 09:40
Nog niet.. maar zal niet lang meer duren.
Poekie McPurrr @carpcatcher20 september 2011 13:00
Volgens de Telegraaf zijn ze failliet (http://www.telegraaf.nl/d...et_verklaard__.html?p=1,1)

"AMSTERDAM - Het bedrijf DigiNotar is dinsdag door de rechtbank in Haarlem failliet verklaard. Dat heeft het moederbedrijf Vasco Data Security bekendgemaakt.

DigiNotar kwam recentelijk in opspraak, toen bleek dat de veiligheidscertificaten die het uitgaf voor websites, niet waterdicht waren."
t_captain @WilliamP20 september 2011 10:08
Ook dan zal er een patch moeten volgen om hun root certificates uit de lijst te halen.

Er is geen automatische koppeling van je browser naar de aankondigingen van de rechtbank ;)
Verwijderd 20 september 2011 09:12
Je zou maar voor Microsoft werken... Al die versies testen en alles. Werkt het op W7? Werkt het op WVista? Werkt het met die en die pack? echt frustrerend lijkt mij dat!
Verwijderd @Verwijderd20 september 2011 09:15
Gelukkig worden ze er voor betaald :/
Verwijderd @Verwijderd20 september 2011 10:02
Ja, en je zou bijna denken dat ze liever hebben dat je op windows 7 overstapt.
BeosBeing @Verwijderd23 september 2011 20:49
SBS2011 als je klein bent en anders 2008R2. Vooral die laatste is het ideale desktop-OS.
PolarBear @Verwijderd20 september 2011 10:22
Ik neem aan dat het testen in hoge mate geautomatiseerd is.
Verwijderd 20 september 2011 10:42
Haha, ik zie de ambtenaren zichzelf al voor het hoofd slaan.
Ze waren al in hun broek aan het schijten toen de eerste patch uitkwam (omdat ze blijkbaar nog nooit van patchmanagement gehoord hebben...). Zie nieuws: Overheid dwingt vertraagde Windows Update af bij Microsoft
Nu kunnen ze blijkbaar nog niet feestvieren...

Ik hoop ze al het slechte toe bij de overheid. Alleen met zulk falen wordt het duidelijk dat het anders moet
Verwijderd 21 september 2011 11:47
Werkt de Windows XP SP3 diginotar-patch ook in Duisland?

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq