Aktuelle Sicherheitslücken

mr.nice.

endlich fertig

Registered: Jun 2004
Location: Wien
Posts: 6302

07.02.2024 - 16:58

Warum zum Henker fällt das eigentlich jetzt erst auf? Wie kann es sein, dass auf internet faced security devices einer well known company ein 23 Jahre altes Perl läuft und keiner macht seit 22 Jahren den Mund auf. Wie können so viele Ingenieure so blind, blöd oder beides sein?

Viper780

Moderator
Er ist tot, Jim!

Registered: Mar 2001
Location: Wien
Posts: 48913

07.02.2024 - 17:03

Da schaut keiner nach - man gibt sehr viel Geld für Appliances aus und der Verkäufer verspricht dass alles besonders gut und sicher ist

Jedimaster

Here to stay

Registered: Dec 2005
Location: Linz
Posts: 2539

07.02.2024 - 17:11

xkcd erklärts doch eh bestens ...

Der Punkt ist, oft wissen die Devs von heutzutags nicht mal mehr das nicht nur ein Layer an Unterbau existiert sondern 2,3,4,5 ...

mr.nice.

endlich fertig

Registered: Jun 2004
Location: Wien
Posts: 6302

07.02.2024 - 17:15

Zitat aus einem Post von Viper780
Da schaut keiner nach - man gibt sehr viel Geld für Appliances aus und der Verkäufer verspricht dass alles besonders gut und sicher ist

Und ivanti intern, sind das alles blinde oder völlig skrupellose Ingenieure? Ich tu' mir echt schwer das ganze zu glauben. Sowas muss bei einem audit oder code review ja auffallen.

Bearbeitet von mr.nice. am 07.02.2024, 17:24

davebastard

Vinyl-Sammler

Registered: Jun 2002
Location: wean
Posts: 11531

07.02.2024 - 17:19

das xkcd Bild von oben trifft ja hier gar nicht zu. so komplex ist das ganze ja nicht dass da 1000e entwickler dran arbeiten wo es sein kann das man den Überblick verliert...IMHO

Jedimaster

Here to stay

Registered: Dec 2005
Location: Linz
Posts: 2539

07.02.2024 - 17:36

Der Punkt den ich anbringen wollt ist, viele Entwickler wissen oft gar nicht mehr welche Software im Hintergrund für welche Funktion verwendet wird. Sprich es muss nicht mal 'Absicht' oder 'bewusst' sein.

Wenn ein Teilaspekt von nem Programmierer gemacht wurde der das gach über a Wochenend zusammengepatcht hat und danach ohne ausreichende Doku das Unternehmen verlassen hat, kriegst solche Sachen. Leider ist das halt auch gelebte Praxis (Zeitdruck, Security egal, irgendeinanderer wird schon kommen und das irgendwann mal 'gscheit' lösen, etc...)

In dem Fall dürften halt solche 'kleine' Bausteinchen wie a 23 Jahre altes Pearl nicht mehr aktualisiert worden sein, wenns immer noch funktioniert und verwendet wird. Vermutlich "solangs funktioniert" schauts/greifts halt keiner an.

davebastard

Vinyl-Sammler

Registered: Jun 2002
Location: wean
Posts: 11531

07.02.2024 - 17:38

nope bei der menge an komplett veralteter software muss das auffallen... außer a) kompette unfähigkeit oder b) absichtlich wegschauen

Smut

takeover & ether

Registered: Feb 2003
Location: VIE
Posts: 16632

07.02.2024 - 17:46

Zitat aus einem Post von davebastard
nope bei der menge an komplett veralteter software muss das auffallen... außer a) kompette unfähigkeit oder b) absichtlich wegschauen

wie geagt, die VPN teile sollten zusammengekauft sein (so wie eigentlich alles im ivanti portfolio), die haben da sicher keinen überblick. software entwicklung erfolgt bei ivanti zum großteil aus indien.

semteX

Risen from the banned

Registered: Oct 2002
Location: Pre
Posts: 14340

07.02.2024 - 18:02

ja, außerdem is das zeug ja von außen ned sichtbar. die ham einmal nen tech stack zamgefrickelt, der performt und gsagt "gut ists!"

dann wurde der ganze ******* integriert und irgendwann hatte ma dann den punkt übersehen, wo ma noch gscheit upgraden konnte. also hätt ma das halbe team hinsetzen müssn um den ******* neu zu integrieren, incl neuer bug-tickets weil jetzt irgend a obskure config nimma so zamspielt wie gedacht.

also sagt ma "was solls denn haben" und klopft 3x auf holz.

davebastard

Vinyl-Sammler

Registered: Jun 2002
Location: wean
Posts: 11531

07.02.2024 - 18:19

Zitat aus einem Post von Smut
wie geagt, die VPN teile sollten zusammengekauft sein (so wie eigentlich alles im ivanti portfolio), die haben da sicher keinen überblick. software entwicklung erfolgt bei ivanti zum großteil aus indien.

k dann ist es halt trotzdem b) irgendwer wird wegschaun...seis der produktmanager ders bew7sst in kauf nimmt oder der inder ders zamfrickelt und sich denkt "ned mein bier"

nexus_VI

Overnumerousness!

Registered: Aug 2006
Location: südstadt
Posts: 3667

07.02.2024 - 18:42

Klar gibt es eine Management-Ebene die solche (aus deren Sicht vielleicht hauptsächlich ökonomischen) Entscheidungen trifft.

Wie es dort mit der Verantwortung gegenüber Kunden und Usern bestellt ist, sieht man eh.

Eine Lösung aus Indischer Entwicklung, bestehend aus 8 ungewarteten Docker Images habe ich übrigens auch schon vor mir gehabt. Ähnlicher Zustand, wenn auch nicht ganz so arg wie hier. Das Projekt haben wir zu dem Zeitpunkt aber schon gekauft gehabt

So rennts ...

daisho

SHODAN

Registered: Nov 2002
Location: 4C4
Posts: 19592

07.02.2024 - 19:55

Pf, ich komm aus einer Bude wo das ebenfalls so war.
Große Firma, Entwickler werden ausgedünnt, 3rd Party Libraries updaten passiert nur wenn der Entwickler beim nächsten Release "selbst dran denkt" - Prozess dafür gibts keinen.
Wird dann natürlich nicht gemacht weil das kostet ja Zeit die man für was anderes braucht und überprüfen tuts keiner (warum auch).
Gibt auch keinen Grund dass das Management sich da Gedanken drüber macht solange nichts passiert (wenn nicht irgendwelche großen Kunden sagen "reparierts das" z.B., oder Imageschaden wie hier z.B.)

Irgendwann kommen halt dann Kunden mit teuer erkauften Security Scans daher wo sie allerlei finden. Meist kurz nachdem irgendwo eine Bomben-Lücke offenbart wurde (Heartbleed, log4j und so) im Internet (vorher interessierts keine Sau - so ist die Praxis).

Das geht "ganz schnell" dass man ewig alte Libraries herumliegen hat

Fortschritt gibt es immer nur nach public shaming.

Bearbeitet von daisho am 07.02.2024, 19:57

nexus_VI

Overnumerousness!

Registered: Aug 2006
Location: südstadt
Posts: 3667

07.02.2024 - 20:16

Das gleiche Management das eine solche Fahrlässigkeit absegnet bzw. sogar fordert, möchte dem Kunden aber gleichzeitig auch Sachen wie ISO-Konformität und alle Stückerl anbieten. Nicht in der Lage einfache Zusammenhänge zu verstehen, ist da leider mein Fazit.

COLOSSUS

Administrator
Frickler

Registered: Dec 2000
Location: ~
Posts: 11902

07.02.2024 - 20:21

Zitat aus einem Post von nexus_VI
Nicht in der Lage einfache Zusammenhänge zu verstehen, ist da leider mein Fazit.

Und "OLLE EISPIRRN, FIA IMMA!" ist meiner :ghug:

nexus_VI

Overnumerousness!

Registered: Aug 2006
Location: südstadt
Posts: 3667

07.02.2024 - 20:26

Zitat aus einem Post von COLOSSUS
Und "OLLE EISPIRRN, FIA IMMA!" ist meiner

Völlig richtig, weil das ja mit Vorsatz passiert und man sich da auch nicht dreinreden lässt in die überragende Business-Strategie.

Es gehört zumindest von Kundenseite massiv abgestraft, leider aber auch wurscht - Bude ist wegen "schlechter Marktlage" dahin und man wird halt woanders C-Level Executive. *rant*

mr.nice. endlich fertig Registered: Jun 2004 Location: Wien Posts: 6302	07.02.2024 - 16:58 Warum zum Henker fällt das eigentlich jetzt erst auf? Wie kann es sein, dass auf internet faced security devices einer well known company ein 23 Jahre altes Perl läuft und keiner macht seit 22 Jahren den Mund auf. Wie können so viele Ingenieure so blind, blöd oder beides sein?
Viper780 Moderator Er ist tot, Jim! Registered: Mar 2001 Location: Wien Posts: 48913	07.02.2024 - 17:03 Da schaut keiner nach - man gibt sehr viel Geld für Appliances aus und der Verkäufer verspricht dass alles besonders gut und sicher ist
Jedimaster Here to stay Registered: Dec 2005 Location: Linz Posts: 2539	07.02.2024 - 17:11 xkcd erklärts doch eh bestens ... Der Punkt ist, oft wissen die Devs von heutzutags nicht mal mehr das nicht nur ein Layer an Unterbau existiert sondern 2,3,4,5 ...
mr.nice. endlich fertig Registered: Jun 2004 Location: Wien Posts: 6302	07.02.2024 - 17:15 Zitat aus einem Post von Viper780 Da schaut keiner nach - man gibt sehr viel Geld für Appliances aus und der Verkäufer verspricht dass alles besonders gut und sicher ist Und ivanti intern, sind das alles blinde oder völlig skrupellose Ingenieure? Ich tu' mir echt schwer das ganze zu glauben. Sowas muss bei einem audit oder code review ja auffallen. Bearbeitet von mr.nice. am 07.02.2024, 17:24
davebastard Vinyl-Sammler Registered: Jun 2002 Location: wean Posts: 11531	07.02.2024 - 17:19 das xkcd Bild von oben trifft ja hier gar nicht zu. so komplex ist das ganze ja nicht dass da 1000e entwickler dran arbeiten wo es sein kann das man den Überblick verliert...IMHO
Jedimaster Here to stay Registered: Dec 2005 Location: Linz Posts: 2539	07.02.2024 - 17:36 Der Punkt den ich anbringen wollt ist, viele Entwickler wissen oft gar nicht mehr welche Software im Hintergrund für welche Funktion verwendet wird. Sprich es muss nicht mal 'Absicht' oder 'bewusst' sein. Wenn ein Teilaspekt von nem Programmierer gemacht wurde der das gach über a Wochenend zusammengepatcht hat und danach ohne ausreichende Doku das Unternehmen verlassen hat, kriegst solche Sachen. Leider ist das halt auch gelebte Praxis (Zeitdruck, Security egal, irgendeinanderer wird schon kommen und das irgendwann mal 'gscheit' lösen, etc...) In dem Fall dürften halt solche 'kleine' Bausteinchen wie a 23 Jahre altes Pearl nicht mehr aktualisiert worden sein, wenns immer noch funktioniert und verwendet wird. Vermutlich "solangs funktioniert" schauts/greifts halt keiner an.
davebastard Vinyl-Sammler Registered: Jun 2002 Location: wean Posts: 11531	07.02.2024 - 17:38 nope bei der menge an komplett veralteter software muss das auffallen... außer a) kompette unfähigkeit oder b) absichtlich wegschauen
Smut takeover & ether Registered: Feb 2003 Location: VIE Posts: 16632	07.02.2024 - 17:46 Zitat aus einem Post von davebastard nope bei der menge an komplett veralteter software muss das auffallen... außer a) kompette unfähigkeit oder b) absichtlich wegschauen wie geagt, die VPN teile sollten zusammengekauft sein (so wie eigentlich alles im ivanti portfolio), die haben da sicher keinen überblick. software entwicklung erfolgt bei ivanti zum großteil aus indien.
semteX Risen from the banned Registered: Oct 2002 Location: Pre Posts: 14340	07.02.2024 - 18:02 ja, außerdem is das zeug ja von außen ned sichtbar. die ham einmal nen tech stack zamgefrickelt, der performt und gsagt "gut ists!" dann wurde der ganze ***** integriert und irgendwann hatte ma dann den punkt übersehen, wo ma noch gscheit upgraden konnte. also hätt ma das halbe team hinsetzen müssn um den ***** neu zu integrieren, incl neuer bug-tickets weil jetzt irgend a obskure config nimma so zamspielt wie gedacht. also sagt ma "was solls denn haben" und klopft 3x auf holz.
davebastard Vinyl-Sammler Registered: Jun 2002 Location: wean Posts: 11531	07.02.2024 - 18:19 Zitat aus einem Post von Smut wie geagt, die VPN teile sollten zusammengekauft sein (so wie eigentlich alles im ivanti portfolio), die haben da sicher keinen überblick. software entwicklung erfolgt bei ivanti zum großteil aus indien. k dann ist es halt trotzdem b) irgendwer wird wegschaun...seis der produktmanager ders bew7sst in kauf nimmt oder der inder ders zamfrickelt und sich denkt "ned mein bier"
nexus_VI Overnumerousness! Registered: Aug 2006 Location: südstadt Posts: 3667	07.02.2024 - 18:42 Klar gibt es eine Management-Ebene die solche (aus deren Sicht vielleicht hauptsächlich ökonomischen) Entscheidungen trifft. Wie es dort mit der Verantwortung gegenüber Kunden und Usern bestellt ist, sieht man eh. Eine Lösung aus Indischer Entwicklung, bestehend aus 8 ungewarteten Docker Images habe ich übrigens auch schon vor mir gehabt. Ähnlicher Zustand, wenn auch nicht ganz so arg wie hier. Das Projekt haben wir zu dem Zeitpunkt aber schon gekauft gehabt So rennts ...
daisho SHODAN Registered: Nov 2002 Location: 4C4 Posts: 19592	07.02.2024 - 19:55 Pf, ich komm aus einer Bude wo das ebenfalls so war. Große Firma, Entwickler werden ausgedünnt, 3rd Party Libraries updaten passiert nur wenn der Entwickler beim nächsten Release "selbst dran denkt" - Prozess dafür gibts keinen. Wird dann natürlich nicht gemacht weil das kostet ja Zeit die man für was anderes braucht und überprüfen tuts keiner (warum auch). Gibt auch keinen Grund dass das Management sich da Gedanken drüber macht solange nichts passiert (wenn nicht irgendwelche großen Kunden sagen "reparierts das" z.B., oder Imageschaden wie hier z.B.) Irgendwann kommen halt dann Kunden mit teuer erkauften Security Scans daher wo sie allerlei finden. Meist kurz nachdem irgendwo eine Bomben-Lücke offenbart wurde (Heartbleed, log4j und so) im Internet (vorher interessierts keine Sau - so ist die Praxis). Das geht "ganz schnell" dass man ewig alte Libraries herumliegen hat Fortschritt gibt es immer nur nach public shaming. Bearbeitet von daisho am 07.02.2024, 19:57
nexus_VI Overnumerousness! Registered: Aug 2006 Location: südstadt Posts: 3667	07.02.2024 - 20:16 Das gleiche Management das eine solche Fahrlässigkeit absegnet bzw. sogar fordert, möchte dem Kunden aber gleichzeitig auch Sachen wie ISO-Konformität und alle Stückerl anbieten. Nicht in der Lage einfache Zusammenhänge zu verstehen, ist da leider mein Fazit.
COLOSSUS Administrator Frickler Registered: Dec 2000 Location: ~ Posts: 11902	07.02.2024 - 20:21 Zitat aus einem Post von nexus_VI Nicht in der Lage einfache Zusammenhänge zu verstehen, ist da leider mein Fazit. Und "OLLE EISPIRRN, FIA IMMA!" ist meiner
nexus_VI Overnumerousness! Registered: Aug 2006 Location: südstadt Posts: 3667	07.02.2024 - 20:26 Zitat aus einem Post von COLOSSUS Und "OLLE EISPIRRN, FIA IMMA!" ist meiner Völlig richtig, weil das ja mit Vorsatz passiert und man sich da auch nicht dreinreden lässt in die überragende Business-Strategie. Es gehört zumindest von Kundenseite massiv abgestraft, leider aber auch wurscht - Bude ist wegen "schlechter Marktlage" dahin und man wird halt woanders C-Level Executive. rant

Aktuelle Sicherheitslücken

Forum Index > Software > Applications, Apps & Drivers

mr.nice.

Viper780

Jedimaster

mr.nice.

davebastard

Jedimaster

davebastard

Smut

semteX

davebastard

nexus_VI

daisho

nexus_VI

COLOSSUS

nexus_VI