Aktuelle Sicherheitslücken

Viper780

Moderator
Er ist tot, Jim!

Registered: Mar 2001
Location: Wien
Posts: 50194

13.10.2024 - 20:57

Zitat aus einem Post von __Luki__
Sophos soll auch recht super sein.

Andere Preis- und Usecase-Klasse (und dem vernehmen nach auch nicht besser)

Zitat aus einem Post von schizo
Die Frage ist ja ziemlich einfach zu beantworten ($$$).

Und einfacher zu administrieren
Die sind da schon sehr kompetativ unterwegs. Marktanteil gibt Ihnen recht.

Zitat aus einem Post von COLOSSUS
Das ist imo komplett irrelevant. Ein Bug dieser Gueteklasse laesst jeden Static Analyzer sofort in die Luft gehen vor lauter Warnings/Errors/Emergencies. Wenn du das nicht hast, und sicherheitsrelevante Produkte herstellst, gehoert dir die Firma zugesperrt und du vmtl. ins Gefaengnis. Wenn du das hast, und das Geschrei des Toolings ignorierst, gehoert dir die Firma zugesperrt und du sicher ins Gefaengnis.

Softwarefehler - sind wie Naturgewalten, da kann man nichts machen.

Aber auf einer ernsthafteren Ebene
Sowas passiert einem ja nicht, das muss man spezifisch so bauen

schizo

Produkt der Gesellschaft

Registered: Feb 2003
Location: Vienna
Posts: 2558

13.10.2024 - 20:59

Zitat aus einem Post von Smut
Was wir aber unklar ist ob sich Cisco und forti soviel nehmen in Bezug auf Security bugs - falls es da gut aufbereitete Vergleiche/begutachtungen gibt, bitte teilen. Thx

Leider hab ich hier auf die Schnelle nichts parat, gefühlt hatten beide die letzten Jahre regelmäßig mit CVE Scores von 8-10 zu kämpfen.

Was beim Vergleich diser beiden Hersteller für Fortinet spricht ist, dass der europpäische Markt und insbesondere der Österreichische für Cisco ziemlich uninteressant ist. Für die bist du hier als Kunde ein reiner Bittsteller und bei Bugs kannst du dich brausen gehen. Bei uns gibt's da (zum Glück keine sicherheitsrelevanten) Bug Reports, welche nach Jahren noch offen sind.

Fortinet vermittelt da zumindest den Eindruck, dass sie hier zumindest nach auzhin bemüht sind auf Kunden Feedback einzugehen.
Das sich etwa die NTS von Cisco verabschiedet spricht ja auch Bände.

Smut

takeover &amp; ether

Registered: Feb 2003
Location: VIE
Posts: 16865

13.10.2024 - 20:59

Zitat aus einem Post von COLOSSUS
Das ist imo komplett irrelevant. Ein Bug dieser Gueteklasse laesst jeden Static Analyzer sofort in die Luft gehen vor lauter Warnings/Errors/Emergencies. Wenn du das nicht hast, und sicherheitsrelevante Produkte herstellst, gehoert dir die Firma zugesperrt und du vmtl. ins Gefaengnis. Wenn du das hast, und das Geschrei des Toolings ignorierst, gehoert dir die Firma zugesperrt und du sicher ins Gefaengnis.

Jo eh.
Aber für die ausnutztbarkeit bzw. Mitigation ist es schon relevant, deshalb die Frage. Dass die nicht zugesperrt werden wissen wir beide

Luki

bierernste Islandkritik

Registered: Nov 2003
Location: gradec
Posts: 2984

13.10.2024 - 21:11

Zitat aus einem Post von Viper780
Andere Preis- und Usecase-Klasse (und dem vernehmen nach auch nicht besser)

Bist dir sicher beim Usecase? Sind schon zu einem nicht unwesentlichen Anteil ziemlich deckungsgleich imho.

Und nein, fix nicht besser, drum auch die Emojis - bei Sophos XG wuerde ich raten so schnell, so weit zu laufen wie moeglich.

InfiX

she/her

Registered: Mar 2002
Location: Graz
Posts: 14364

13.10.2024 - 21:36

Zitat aus einem Post von __Luki__
bei Sophos XG wuerde ich raten so schnell, so weit zu laufen wie moeglich.

die verbauen immerhin normale hardware wo man dann einfach ein funktionales OS draufpacken kann

DAO

Si vis pacem, para bellum

Registered: Mar 2001
Location: Austria
Posts: 4969

13.10.2024 - 21:49

@ cisco
da hast du 3 “produktlinien”: asa, secure firewall (ex firepower) und meraki.

ich wueste nicht das asa (ja du kannst dirs aussuchen ob asa oder firepower image auf der hw rennt) und die meraki devices hier massig cve’s sammeln.

Viper780

Moderator
Er ist tot, Jim!

Registered: Mar 2001
Location: Wien
Posts: 50194

13.10.2024 - 22:18

Waren die ASA nicht die wo es pro Quartal eine Hardcoded Backdoor gab?
Jetzt ist es schon etwas her dass ich damit zu tun hatte und war nie ganz tief mit den Produktdetails involviert

schizo

Produkt der Gesellschaft

Registered: Feb 2003
Location: Vienna
Posts: 2558

13.10.2024 - 23:30

Zitat aus einem Post von DAO
@ cisco
da hast du 3 “produktlinien”: asa, secure firewall (ex firepower) und meraki.

ich wueste nicht das asa (ja du kannst dirs aussuchen ob asa oder firepower image auf der hw rennt) und die meraki devices hier massig cve’s sammeln.

Gerade in Hinblick auf VPNs hat Cisco immer wieder abgeräumt. Betroffen war davon die LINA, auf welche sowohl bei der ASA als auch Firepower läuft.
Bei Meraki fehlt mir der Überblick, die betreue ich nicht.

@Viper: Meinst du die NSA Geschichte?

Bearbeitet von schizo am 13.10.2024, 23:32

Viper780

Moderator
Er ist tot, Jim!

Registered: Mar 2001
Location: Wien
Posts: 50194

13.10.2024 - 23:54

Ja genau die

Hab kurz in meinen Bookmarks geschaut und da waren zwei andere dabei welche aber das Lizenztool und die Catalyst Switches betraf

https://www.theregister.com/2021/11...security_alert/
https://www.golem.de/news/smart-lic...409-188712.html

mr.nice.

differential image maker

Registered: Jun 2004
Location: Wien
Posts: 6516

14.10.2024 - 08:34

Sophos ist zwar auch nicht kugelsicher, aber für 2024 haben sie einen ziemlich guten track record, nur eine einzige bekannte privilege escalation im bitlocker modul.

https://www.cvedetails.com/vendor/2047/Sophos.html

othan

Layer 8 Problem

Registered: Nov 2001
Location: Switzerland
Posts: 4231

14.10.2024 - 09:48

Gibts von eurer Seite Produkte die man empfehlen kann?

Aktuell schiele ich immer wieder auf die OPNsense Appliances.

schizo

Produkt der Gesellschaft

Registered: Feb 2003
Location: Vienna
Posts: 2558

14.10.2024 - 10:27

Zitat aus einem Post von othan
Gibts von eurer Seite Produkte die man empfehlen kann?

Aktuell schiele ich immer wieder auf die OPNsense Appliances.

Ist der falsche Thread dafür, es gibt einen OPNsense Thread, ansonsten mach einen neuen mit deinen Anforderungen auf. So allgemein lässt sich die Frage nicht beantworten.

mr.nice.

differential image maker

Registered: Jun 2004
Location: Wien
Posts: 6516

14.10.2024 - 10:41

Zitat aus einem Post von othan
Gibts von eurer Seite Produkte die man empfehlen kann?

Aktuell schiele ich immer wieder auf die OPNsense Appliances.

Generelle Empfehlungen auszusprechen ist nicht so leicht, es gibt einige Faktoren die man berücksichtigen sollte, z.B. ob es eine in-house IT gibt die sich damit auseinandersetzen kann oder nicht, wie groß der Kunde ist, ob alles über den Hersteller direkt abgewickelt werden muss, oder ob der Support über externe Dienstleister laufen kann.

Meiner Meinung nach sind die wenigen open source Firewall-Anbieter sicher nicht die schlechtesten, aber man darf sich halt nicht den Mega-Support erwarten, weil das eher kleine Firmen sind. Also da ist schon auch Aufbau von eigenem Know-How gefragt.

Linux und BSD haben klarerweise auch Sicherheitslücken und bei den selbstgestrickten Appliances ist nicht immer leicht ersichtlich, wer wovon betroffen ist, wenn es keine eigene gewartete Liste dafür gibt.

Bearbeitet von mr.nice. am 14.10.2024, 10:47

davebastard

Vinyl-Sammler

Registered: Jun 2002
Location: wean
Posts: 12363

14.10.2024 - 11:30

Zitat aus einem Post von othan
Gibts von eurer Seite Produkte die man empfehlen kann?

Aktuell schiele ich immer wieder auf die OPNsense Appliances.

also wir haben neben fortinet noch eine palo alto, und hatten davor auch schon eine, die sind eigentlich recht solide, ich persönlich wäre sowas wie opnsense oder pfsense auch nicht abgeneigt aber wenns non-opensource sein soll würd ich aktuell palo alto als guten Kandidaten sehen. Ich hab aber sicher nicht so den Überblick wie jemand der in einem Systemhaus/IT-DIenstleister oder sowas arbeitet...
Checkpoint gäbs auch noch, da hatte aber eine Partnerfirma grad grobe Probleme mit denen, prinzipiell aber auch einer der Hersteller die man imho bei einer Evaluierung miteinschließen sollte.

Neo-=IuE=-

Here to stay

Registered: Jun 2002
Location: Berndorf, NÖ
Posts: 3232

14.10.2024 - 15:59

Probleme gibt es bei allen Produkten.
Aber laufend wichtige sicherheitsrelevante Probleme bei Security-Herstellern ist halt "schwierig"...

Viper780 Moderator Er ist tot, Jim! Registered: Mar 2001 Location: Wien Posts: 50194	13.10.2024 - 20:57 Zitat aus einem Post von __Luki__ Sophos soll auch recht super sein. Andere Preis- und Usecase-Klasse (und dem vernehmen nach auch nicht besser) Zitat aus einem Post von schizo Die Frage ist ja ziemlich einfach zu beantworten ($$$). Und einfacher zu administrieren Die sind da schon sehr kompetativ unterwegs. Marktanteil gibt Ihnen recht. Zitat aus einem Post von COLOSSUS Das ist imo komplett irrelevant. Ein Bug dieser Gueteklasse laesst jeden Static Analyzer sofort in die Luft gehen vor lauter Warnings/Errors/Emergencies. Wenn du das nicht hast, und sicherheitsrelevante Produkte herstellst, gehoert dir die Firma zugesperrt und du vmtl. ins Gefaengnis. Wenn du das hast, und das Geschrei des Toolings ignorierst, gehoert dir die Firma zugesperrt und du sicher ins Gefaengnis. Softwarefehler - sind wie Naturgewalten, da kann man nichts machen. Aber auf einer ernsthafteren Ebene Sowas passiert einem ja nicht, das muss man spezifisch so bauen
schizo Produkt der Gesellschaft Registered: Feb 2003 Location: Vienna Posts: 2558	13.10.2024 - 20:59 Zitat aus einem Post von Smut Was wir aber unklar ist ob sich Cisco und forti soviel nehmen in Bezug auf Security bugs - falls es da gut aufbereitete Vergleiche/begutachtungen gibt, bitte teilen. Thx Leider hab ich hier auf die Schnelle nichts parat, gefühlt hatten beide die letzten Jahre regelmäßig mit CVE Scores von 8-10 zu kämpfen. Was beim Vergleich diser beiden Hersteller für Fortinet spricht ist, dass der europpäische Markt und insbesondere der Österreichische für Cisco ziemlich uninteressant ist. Für die bist du hier als Kunde ein reiner Bittsteller und bei Bugs kannst du dich brausen gehen. Bei uns gibt's da (zum Glück keine sicherheitsrelevanten) Bug Reports, welche nach Jahren noch offen sind. Fortinet vermittelt da zumindest den Eindruck, dass sie hier zumindest nach auzhin bemüht sind auf Kunden Feedback einzugehen. Das sich etwa die NTS von Cisco verabschiedet spricht ja auch Bände.
Smut takeover &amp; ether Registered: Feb 2003 Location: VIE Posts: 16865	13.10.2024 - 20:59 Zitat aus einem Post von COLOSSUS Das ist imo komplett irrelevant. Ein Bug dieser Gueteklasse laesst jeden Static Analyzer sofort in die Luft gehen vor lauter Warnings/Errors/Emergencies. Wenn du das nicht hast, und sicherheitsrelevante Produkte herstellst, gehoert dir die Firma zugesperrt und du vmtl. ins Gefaengnis. Wenn du das hast, und das Geschrei des Toolings ignorierst, gehoert dir die Firma zugesperrt und du sicher ins Gefaengnis. Jo eh. Aber für die ausnutztbarkeit bzw. Mitigation ist es schon relevant, deshalb die Frage. Dass die nicht zugesperrt werden wissen wir beide
__Luki__ bierernste Islandkritik Registered: Nov 2003 Location: gradec Posts: 2984	13.10.2024 - 21:11 Zitat aus einem Post von Viper780 Andere Preis- und Usecase-Klasse (und dem vernehmen nach auch nicht besser) Bist dir sicher beim Usecase? Sind schon zu einem nicht unwesentlichen Anteil ziemlich deckungsgleich imho. Und nein, fix nicht besser, drum auch die Emojis - bei Sophos XG wuerde ich raten so schnell, so weit zu laufen wie moeglich.
InfiX she/her Registered: Mar 2002 Location: Graz Posts: 14364	13.10.2024 - 21:36 Zitat aus einem Post von __Luki__ bei Sophos XG wuerde ich raten so schnell, so weit zu laufen wie moeglich. die verbauen immerhin normale hardware wo man dann einfach ein funktionales OS draufpacken kann
DAO Si vis pacem, para bellum Registered: Mar 2001 Location: Austria Posts: 4969	13.10.2024 - 21:49 @ cisco da hast du 3 “produktlinien”: asa, secure firewall (ex firepower) und meraki. ich wueste nicht das asa (ja du kannst dirs aussuchen ob asa oder firepower image auf der hw rennt) und die meraki devices hier massig cve’s sammeln.
Viper780 Moderator Er ist tot, Jim! Registered: Mar 2001 Location: Wien Posts: 50194	13.10.2024 - 22:18 Waren die ASA nicht die wo es pro Quartal eine Hardcoded Backdoor gab? Jetzt ist es schon etwas her dass ich damit zu tun hatte und war nie ganz tief mit den Produktdetails involviert
schizo Produkt der Gesellschaft Registered: Feb 2003 Location: Vienna Posts: 2558	13.10.2024 - 23:30 Zitat aus einem Post von DAO @ cisco da hast du 3 “produktlinien”: asa, secure firewall (ex firepower) und meraki. ich wueste nicht das asa (ja du kannst dirs aussuchen ob asa oder firepower image auf der hw rennt) und die meraki devices hier massig cve’s sammeln. Gerade in Hinblick auf VPNs hat Cisco immer wieder abgeräumt. Betroffen war davon die LINA, auf welche sowohl bei der ASA als auch Firepower läuft. Bei Meraki fehlt mir der Überblick, die betreue ich nicht. @Viper: Meinst du die NSA Geschichte? Bearbeitet von schizo am 13.10.2024, 23:32
Viper780 Moderator Er ist tot, Jim! Registered: Mar 2001 Location: Wien Posts: 50194	13.10.2024 - 23:54 Ja genau die Hab kurz in meinen Bookmarks geschaut und da waren zwei andere dabei welche aber das Lizenztool und die Catalyst Switches betraf https://www.theregister.com/2021/11...security_alert/ https://www.golem.de/news/smart-lic...409-188712.html
mr.nice. differential image maker Registered: Jun 2004 Location: Wien Posts: 6516	14.10.2024 - 08:34 Sophos ist zwar auch nicht kugelsicher, aber für 2024 haben sie einen ziemlich guten track record, nur eine einzige bekannte privilege escalation im bitlocker modul. https://www.cvedetails.com/vendor/2047/Sophos.html
othan Layer 8 Problem Registered: Nov 2001 Location: Switzerland Posts: 4231	14.10.2024 - 09:48 Gibts von eurer Seite Produkte die man empfehlen kann? Aktuell schiele ich immer wieder auf die OPNsense Appliances.
schizo Produkt der Gesellschaft Registered: Feb 2003 Location: Vienna Posts: 2558	14.10.2024 - 10:27 Zitat aus einem Post von othan Gibts von eurer Seite Produkte die man empfehlen kann? Aktuell schiele ich immer wieder auf die OPNsense Appliances. Ist der falsche Thread dafür, es gibt einen OPNsense Thread, ansonsten mach einen neuen mit deinen Anforderungen auf. So allgemein lässt sich die Frage nicht beantworten.
mr.nice. differential image maker Registered: Jun 2004 Location: Wien Posts: 6516	14.10.2024 - 10:41 Zitat aus einem Post von othan Gibts von eurer Seite Produkte die man empfehlen kann? Aktuell schiele ich immer wieder auf die OPNsense Appliances. Generelle Empfehlungen auszusprechen ist nicht so leicht, es gibt einige Faktoren die man berücksichtigen sollte, z.B. ob es eine in-house IT gibt die sich damit auseinandersetzen kann oder nicht, wie groß der Kunde ist, ob alles über den Hersteller direkt abgewickelt werden muss, oder ob der Support über externe Dienstleister laufen kann. Meiner Meinung nach sind die wenigen open source Firewall-Anbieter sicher nicht die schlechtesten, aber man darf sich halt nicht den Mega-Support erwarten, weil das eher kleine Firmen sind. Also da ist schon auch Aufbau von eigenem Know-How gefragt. Linux und BSD haben klarerweise auch Sicherheitslücken und bei den selbstgestrickten Appliances ist nicht immer leicht ersichtlich, wer wovon betroffen ist, wenn es keine eigene gewartete Liste dafür gibt. Bearbeitet von mr.nice. am 14.10.2024, 10:47
davebastard Vinyl-Sammler Registered: Jun 2002 Location: wean Posts: 12363	14.10.2024 - 11:30 Zitat aus einem Post von othan Gibts von eurer Seite Produkte die man empfehlen kann? Aktuell schiele ich immer wieder auf die OPNsense Appliances. also wir haben neben fortinet noch eine palo alto, und hatten davor auch schon eine, die sind eigentlich recht solide, ich persönlich wäre sowas wie opnsense oder pfsense auch nicht abgeneigt aber wenns non-opensource sein soll würd ich aktuell palo alto als guten Kandidaten sehen. Ich hab aber sicher nicht so den Überblick wie jemand der in einem Systemhaus/IT-DIenstleister oder sowas arbeitet... Checkpoint gäbs auch noch, da hatte aber eine Partnerfirma grad grobe Probleme mit denen, prinzipiell aber auch einer der Hersteller die man imho bei einer Evaluierung miteinschließen sollte.
Neo-=IuE=- Here to stay Registered: Jun 2002 Location: Berndorf, NÖ Posts: 3232	14.10.2024 - 15:59 Probleme gibt es bei allen Produkten. Aber laufend wichtige sicherheitsrelevante Probleme bei Security-Herstellern ist halt "schwierig"...

Aktuelle Sicherheitslücken

Forum Index > Software > Applications, Apps & Drivers

Viper780

schizo

Smut

__Luki__

InfiX

DAO

Viper780

schizo

Viper780

mr.nice.

othan

schizo

mr.nice.

davebastard

Neo-=IuE=-

Luki