und wieder 1 Jahr bis F5 reagiert

Eine Schwachstelle im Linuxkernel für Ubuntu LTS wurde jüngst ( 30.4.2015 ) bekannt,
und wer braucht wieder mal ein Jahr um das zu erkennen ? F5 🙂

Die Angaben aus dieser CERT Mitteilung könnten allerdings den Grund erklären:

Historie:
Version 2 (23.03.2016):
F5 Networks teilt mit, welche Produkte und Versionen von dieser
Schwachstelle betroffen sind.
Version 1 (30.04.2015):
Neues Advisory

Betroffene Plattformen:

F5 Networks BIG-IP Protocol Security Module (PSM) >= 10.1.0
F5 Networks BIG-IP Protocol Security Module (PSM) <= 10.2.4
F5 Networks BIG-IP Protocol Security Module (PSM) >= 11.0.0
F5 Networks BIG-IP Protocol Security Module (PSM) <= 11.4.1
Canonical Ubuntu Linux 12.04 Lts

Offensichtlich basiert F5’s Produkt auf einer LTS Version , was an sich kein Problem ist, denn die LTS Version bekommt ja Updates für Schwachstellen. Was komisch ist, daß Canonical das bereits vor einem Jahr gemeldet hat und damit vermutlich auch behoben hat.

Wie kann man also in der Securitybranche ein ganzes Jahr brauchen um festzustellen, daß das das eigene Produkt eine Schwachstelle hat ? Lesen die die Mitteilungen von Canonical nicht ? So gut wie jeder Distributor gibt entsprechende Meldungen raus, wenn eine Sicherheitslücke gefunden wurde.

Bleibt noch die Frage wieso das ausgerechnet bei F5 so lange dauert! Kann das mal jemand aufklären ?

 

und wieder pennt die F5

Ich habe ja erst vor ein paar Tagen auf die langsame Aufklärung von Sicherheitslücken bei F5 hingewiesen, und prompt kommt das hier rein :

Historie:
  Version 4 (19.02.2016):
    F5 Networks bestätigt, dass das BIG-IP Protocol Security Module (PSM) in
    den Versionen 10.1.0 - 10.2.4 und 11.0.0 - 11.4.1 die Bibliothek libjpeg
    verwendet und damit von der Schwachstelle CVE-2013-6629 betroffen ist,
    stellt aber keine Sicherheitsupdates zur Verfügung. Die Schwachstelle
    CVE-2013-6630 (libjpeg-turbo) betrifft BIG-IP erst ab Programmversion
    12.0.0. BIG-IP PSM ist davon nicht betroffen.
  Version 3 (30.05.2014):
    Für Fedora 19 und 20 stehen weitere Sicherheitsupdates bereit.
  Version 2 (22.12.2013):
    Ubuntu und Fedora haben ebenfalls neue Versionen bereitgestellt.
  Version 1 (11.12.2013):
    Neues Advisory

Quelle: DFN-CERT-2013-2046

Also ich werde sicher nicht auf deren Produkte setzen, daß wäre mir zu unsicher bei der zeitlichen Verzögerung. All hail Fedora!

F5 Firewalls ?

Wer täglich die Warnung des Cert liest, wird die Firma F5 mit Ihren Firewalllösungen kennen, ob wir Sie mögen sollten, ist eine andere Sache. Jedenfalls sind die in letzter Zeit Dauergäste in den Emails des Cert.

Heute konnte ich in einer Meldung zu einem lokalen Kernelprivilegienescalation Problem folgendes lesen:

Version 1 (2015-04-30 14:38)
Neues Advisory
Version 2 (2015-05-04 11:00)
Für die Distributionen Fedora 20, 21 und 22 stehen Sicherheitsupdates zur Behebung der Schwachstelle bereit. Die Updates für Fedora 20 und 21 befinden sich im Status ‚testing‘, das Update für Fedora 22 im Status ’stable‘.
Version 3 (2015-05-06 09:32)
Canonical stellt für die Distributionen Ubuntu 12.04 LTS inkl. Trusty HWE, Ubuntu 14.04 LTS inkl. Utopic HWE, Ubuntu 14.10 und Ubuntu (vivid) Sicherheitsupdates zur Behebung der Schwachstelle bereit.
Version 4 (2016-02-01 10:49)
F5 Networks informiert über die betroffenen Produkte und Versionen. Unter anderem ist BIG-IP Protocol Security Module (PSM) in den Versionen 10.1.0 – 10.2.4 und 11.0.0 – 11.4.1 verwundbar. Um Angriffe zu vermeiden, sollten nur vertrauenswürdige Administratoren Zugang zu der erweiterten Shell haben. Im Appliance-Modus kann die Schwachstelle nicht ausgenutzt werden, da Benutzer in diesem Modus keinen Zugriff auf die erweiterte Shell haben.
Quelle:
DFN-CERT Services GmbH

Da ich natürlich zuerst lese, um was es geht und welche Plattform betroffen ist, fiel mit nicht sofort auf, daß es sich um Kernel 4.0.1 handelte, da entgegen sonst üblichen Emails der Kernel gar nicht genannt wurde. (Das DNF Cert schickt manchmal Emailteaser für Ihr Webangebot rum, für den Fall egal.)

Wenn man nun genauer hinschaut, muß man schon etwas stutzen, da Version 1 der Meldung vom 30.4. 2015 ist und erst heute, am 1.2.2016 F5 merkt, daß sie auch betroffen sind. Von einer Firma aus dem Securitybereich, erwarte ich mir mehr, wenn jede Linuxdesktopdistribution schneller ist, als meine Firewalllösung.

Vielleicht mag der eine oder andere ja mal einen Kommentar dazu abgeben.

Wie schnell sollte eine Unternehmensfirewall reagieren ?

Was ist das maximal Grenze, die noch akzeptabel ist, klar sofort die Norm sein sollte.