Patch-Days der Software-Hersteller erklärt
Viele Hersteller machen einmal pro Monat oder im 3-Monats-Zyklus Sicherheits-Updates. Hier der Plan der bekanntesten Hersteller: :J Microsoft: (monatlich) 2. Dienstag im Monat (19:00 MEZ) -> Sicherheits-Updates Windows/Office u.a. Microsoft: (monatlich) 4. Dienstag im Monat (19:00 MEZ) -> Funktions-Updates Windows/Office u.a. :J Adobe: (monatlich) 2. Dienstag im Monat (21:00 MEZ) -> Sicherheits-Updates Acrobar Reader/Flash Player :J Oracle: (alle drei Monate) etwa 15. des Monats -> Sicherheits-Updates Java Runtime (JRE) Versions-Updates (größeren Umfangs) stehen in folgenden Zyklen zur Verfügung: :W Microsoft: 2. Dienstag im April jedes Jahres XX: Windows 1HXX - 1. Halbjahres Upgrade - bisher kostenlos :W Microsoft: 2. Dienstag im Oktober jedes Jahres XX: Windows 2HXX - 2. Halbjahres Upgrade - bisher kostenlos :W Oracle: Mitte März jedes Jahres XX: Nächste Java Version 10...11...12... :W Oracle: Mitte September jedes Jahres XX: Nächste Java Version 10...11...12... Todo: Da die oben genannten Software-Produkte Haupt-Angriffspunkt von Kriminellen sind, fordern das Bundesamt für Sicherheit in der Informationstechnik (BSI), Prüfungs-Organisationen und die Hersteller, dass alle Installationen zeitnah auf den aktuellen Software-Stand gebracht werden. Inventar: Für ein einfaches Inventar von Hard- und Windows-basierter Software lässt sich Open-Audit classic, eine Open-Source Inventarisierungs-Lösung einsetzen, für die Software-Verteilung liefert die Open-Source Gemeinde "WPKG". Für Detailiiertere Analysen und größere Umgebungen gibt es auch Kauf- und Mietmodelle anderer Softwareprodukte Fazit: Halten Sie Ihre Software-Installationen immer auf dem aktuellen Stand. Der beschriebene Zeitplan kann Ihnen dabei helfen, die Updates rechtzeitig zu planen. (Letzte Revision: 18.08.2018 11:47:41) (Post ID:1162)
erstes Bild
Kategoriebild
Wann erscheint Server 2019 und wie lange hält er
#FAQ: Microsoft Windows #Server 2019 ist die Bezeichnung für den LTSC (Long Term Service Channel) bei den Kauflizenzen von #Microsoft für den Einsatz in eigenen Räumlichkeiten (on premise). Er ist auf die Dauer von derzeit 10 Jahren ausgelegt, bevor keine Sicherheits-Updates mehr verfügbar sind. Mit dem Patchday im Oktober 2019 ist das Release geplant. (also am 2. Dienstag im Oktober 2018) Der Server trägt die Bezeichnung 2019 weil das Geschäftsjahr 2019 bei Microsoft am 01. Juli 2018 begann. Server 2019 kann über das Volumen-Lizenzprogramm oder über den OEM-Kanal (mit Server-Hardware) erworben werden. Zusätzlich gibt es eine Miet-Version, die alle 6 Monate Funktions-Updates bekommt. (Semi Annual Branch). Die Miet-Version kann im Open-Vertrag mit Software-Assurance gemietet werden. (Post ID:1213)
erstes Bild
Kategoriebild
Java und die Sicherheits-Updates
Oracle legt den Stichtag für das Ende der öffentlich verfügbaren Updates für Dezember 2020 fest. Java 7 wurde bereits im März 2015 eingestellt. Wer noch Installationen von Java 7 auf seinen Systeme hat, prüfe bitte, ob Java notwendig ist und wenn ja, die verwendete Software auch mit Java 8 funktioniert. Dann steht einem Update auf Java Version 8 nichts mehr im Wege. :W #Java 8 ist die letzte Version mit öffentlichem Langzeit Support. Alle Nachfolgeversionen erfordern für den Long Term Service einen Mietvertrag mit Oracle. Eine Alternative, weil noch sicherer ist die aktuelle Java 10 Version, da viele Bereiche in reservierten Speicherbereichen (sandboxing) laufen. Ab Java 9 sind die Support-Zyklen aber wesentlich kürzer. Java 10 beispielsweise erschien im März, der Support endet im September 2018. Damit gibt es wie bei Microsoft Windows auch bei Oracle Java nun 2 Halbjahres-Versionen, die aktualisiert werden müssen. Fazit: Java 8 wird noch bis 2020 aktualisiert. Prüfen, ob noch Java 7 Installationen vorliegen, wenn ja, Notwendigkeit der Installation bzw. Lauffähigkeit der Software unter Java8 prüfen. Auf Java 8 umstellen. (Post ID:1163)
erstes Bild
Kategoriebild
Microsoft Windows Patches schließen 50 Lücken
Der #Microsoft Juni Patch-Day hat es in sich. über 50 Sicherheits-Updates wurden für die Betriebssysteme Windows 7, 8.1 und die verschiedenen 10 Branches verteilt. Außerdem für Server-Versionen 2008R2, 2012 und R2, 2016. Eine der Lücken erlaubt über den DNS-Dienst mit gezielten Abfragen auf Systemen Programme auszuführen (Schadcode). :W Daher sollten die aktuellen Sicherheits-Updates auch auf den Servern unbedingt installiert werden. Auf den Arbeitsstationen geschieht dies meist automatisch, auf den Servern aber nicht. (Post ID:1148)
erstes Bild
Kategoriebild
Windows und Windows Server
Alte #RDP Clients ab Mai 2018 endgültig ausgesperrt. Am 8. Mai 2018 wird ein #Update dazu führen, dass ungepatchte RDP-Clients von gepatchten Windows Servern :T abgelehnt werden. Damit wird verhindert, dass die Sicherheitslücke ausgenutzt werden kann. Tipp: Stellen Sie sicher, dass nicht nur Ihre Server (Server 2008 R2 und neuer) alle Sicherheits-Updates haben, sondern auch Ihre Clients. (PCs, Notebooks mit Windows 7,8.1 und 10) Sollten Sie noch Windows xp Clients einsetzen, um RDP-Verbindungen aufzubauen, sind diese ab dam 08. Main unbrauchbar. Betroffen sind auch alte Thin Clients mit Linux Betriebsystem, die nicht aktualisiert wurden oder sich nicht mehr aktualisieren lassen #endoflife Unklar ist bisher, was mit Windows Embedded Geräten passieren wird. Normalerweise aktualisieren sich diese nicht, da das Betriebssystem auf einem Read-Only Flash-Speicher installiert ist. Für Windows Embedded 7 könnte es ein RDP Client Update geben, man muss es aber als Administrtator nach Aufhebung der Leserechte manuell installieren. (Post ID:1144)
erstes Bild
Kategoriebild
Sicherheitslücke in Intel Prozessoren
Sie führt zu vorzeitigem Microsoft #Patch day. So sind bereits gestern die für 09. Januar 2018 geplanten Sicherheits-Updates für Office und für Windows veröffentlicht worden. Im Microsoft Update Catalog stehen die Downloads zur Verfügung. Hintergrund ist die Architektur der Intel Prozessoren und wie Programme (und Betriebssystem-Kerne) Speicherbereiche im Prozessor adressieren. Hier ist es Forschern gelungen, Speicherbereiche auszulesen und zu manipulieren ("kernel address space layout randomization", KASLR) :T Die Überprüfung Ihrer #Kaspersky Installation hat damit nun besondere Brisanz vor dem regulären Patchday bekommen. Insbesondere Ihre Außendienstmitarbeitern mit Notebooks/Ultrabooks, die nicht täglich von Ihrem unternehmenseigenen Kaspersky Security Center Updates bekommen, sollten Kaspersky Signaturen über eine Internet-Verbindung aktualisieren! (Post ID:1128)
erstes Bild
Kategoriebild