Gerade auf heise gesehen, ich lass des mal hier zur Sicherheit und so…

Für Ivanti können wir regelrecht einen eigenen Thread aufmachen… seit im Februar die US Regierung ihren Behörden verboten hat bestimmte Ivanti-Lösungen einzusetzen, sind die gefühlt jede Woche wieder in den Nachrichten mit einer neuen kritischen Sicherheitslücke…

Denen ist damals eine Analyse ihrer aktuellen Produkte furchtbar um die Ohren gehauen worden.

Im Einsatz war dort bei denen, im Jahr 2024:

• Linux kernel 2.6.32 (EOL 2016… aktuell wäre 6.10)
• OpenSSL 1.0.2n (Version aus 2017, große Sicherheitslücken)
• Python 2.6.6 (Version aus 2010)
• Perl v5.6.1 (Version aus 2001)

Und diverse weitere Libraries, die sich auf um die 900 critical CVE aufsummierten…

Dass überhaupt noch jemand diese Software einsetzt ist unfassbar.

900?!
Ja nun… Ein eigener Thread wäre demnach entweder ewig lang oder sehr sehr kurz… mir schwebt da etwas vor wie:

Ivanti?!

Just don’t!

Ich bin sehr gespannt wer da plötzlich im kurzen Hemd dastehen wird, wenn der Cyber Resilience Act die Software Bill of Materials vorschreibt.

Das wird ein bisschen so, als müssten Lebensmittelhersteller einmal detailliert und maschinenlesbar publizieren was eigentlich in der Wurst ist.

Kritische Sicherheitslücke CVE-2024-7593 in Ivanti Virtual Traffic Manager (security-insider.de)

Und weiter geht die wilde Fahrt