NCSC waarschuwt voor einde ondersteuning Python 2

De National Cyber Security Centres van Nederland en het Verenigd Koninkrijk waarschuwen ontwikkelaars die nog Python 2 gebruiken ervoor dat ze moeten overstappen naar Python 3. Op 1 januari 2020 stopt de ondersteuning voor Python 2.

Het stoppen van de ondersteuning betekent dat Python 2 vanaf 1 januari volgend jaar geen beveiligingsupdates meer krijgt. Het Nederlandse NCSC adviseert ontwikkelaars zo snel mogelijk over te stappen op Python 3. Het Centrum verwijst hen voor verdere toelichting door naar een blog van hun Britse evenknie, en naar een eigen factsheet over end-of-life-procedures voor software.

Uit statistieken van de Python Package Index blijkt dat in ieder geval in juni 2019 het gros van de downloads nog packages voor Python 2.x-versies waren. Het gaat om miljoenen downloads per maand voor een versie die vanaf 1 januari als onveilig te beschouwen is.

De Britse NCSC waarschuwt ontwikkelaars dat ze hiermee hun organisaties risico laten lopen en functionaliteit van Python 3 mislopen. Het beveiligingscentrum wijst ontwikkelaars die willen overstappen door naar tools die daarbij kunnen helpen, zoals Can I Use Python 3 dat projecten analyseert op mogelijke problemen die kunnen ontstaan.

Package Python 2 Python 3 Versie onbekend
Colorama82.07%17.71%0.22%
botocore72.86%26.84%0.30%
urllib364.14%35.50%0.37%
Requests53.37%46.02%0.61%
scikit-learn43.80%55.90%0.30%
NumPy40.69%58.70%0.61%
Pillow37.78%61.31%0.91%
TensorFlow37.66%61.25%1.09%
Matplotlib33.17%66.34%0.49%
Flask31.28%68.33%0.39%

Bron: tweakers.net



Microsoft en NCSC waarschuwen voor twee ernstige kwetsbaarheden in Windows

Microsoft heeft beveiligingsupdates uitgebracht voor twee kwetsbaarheden in de Remote Desktop Services van Windows. Het Nationaal Cyber Security Centrum verwacht dat de lekken binnen zeer korte termijn worden misbruikt door aanvallers en omschrijft de updates als ‘urgent’.

De kwetsbaarheden in de Remote Desktop Services van Windows maken het volgens het NCSC mogelijk om op afstand code uit te voeren zonder dat daarvoor een gebruikersnaam of wachtwoord nodig is. Kwaadwillenden zouden de computer daardoor volledig kunnen overnemen als het systeem niet is geüpdatet. Het NCSC stelt verder dat een dergelijk lek op grote schaal kan worden misbruikt.

Net als het BlueKeep-lek dat eerder dit jaar werd ontdekt, zitten de twee kwetsbaarheden in de Remote Desktop Services. In tegenstelling tot BlueKeep zijn de beveiligingsrisico’s, aangeduid als CVE-2019-1181 en CVE-2019-1182, echter ook aanwezig in Windows 10, inclusief de serverversies, en Windows Server 2012 en 2012 R2. Andere kwetsbare systemen zijn Windows 7 SP1, Windows Server 2008 R2 SP1 en Windows 8.1. Volgens Microsoft lopen computers met Windows XP, Windows Server 2003 en Windows Server 2008 geen risico, en zou het Remote Desktop Protocol zelf ook niet kwetsbaar zijn.

Gebruikers kunnen de benodigde beveiligingspatches sinds dinsdagavond downloaden via de Windows Update-functie of via deze Microsoft-webpagina. Microsoft heeft naar eigen zeggen geen bewijzen dat de lekken, op het moment dat ze werden ontdekt en gepatcht, bij derde partijen bekend waren.

Bron: tweakers.net