source: https://www.darkreading.com/threat-intelligence/lazarus-group-still-juicing-log4shell-rats-written-d
Two years on and multiple “the sky is falling” headlines later, Veracode reported last week that more than a third (38%) of all in-use applications are still using vulnerable versions of #Log4j.
#software #fail #bug #security #NorthKorea #attack #problem #news #cybersecurity #update #economy
Source: https://www.veracode.com/blog/research/state-log4j-vulnerabilities-how-much-did-log4shell-change
What we found illustrates how unaddressed #security technical debt exposes organizations to numerous risks.
...
Overall, we found that more than 1 in 3 (38 percent) of applications currently use vulnerable versions of Log4j.
#vulnerability #problem #software #development #news #economy #capitalism #fail #exploit
Who is responsible for teaching the current crop of attention-deficit teenagers that command sequences in Unix shells (like bash) are separated by '&&'? Would this person please own up? I have an axe to grind...
So recently, we had Yet Another Java Fuckup, this time because everybody was surprised that Java will load and link random libraries form the internet when told to do so... yes, that log4j hilarity. We all had a good laugh.
Now, I'm having to clean up behind some half-assed attempt at mitigating for log4j, in the form of the following Dockerfile:
apt update && apt -y install -t bullseye-backports libreoffice && rm /usr/share/java/ant-apache-log4j-1.10.9.jar && rm /usr/share/maven-repo/org/apache/ant/ant-apache-log4j/1.10.9/ant-apache-log4j-1.10.9.jar
You know the more I look, the more idiotic this is. First of all, if you don't understand shell programming, go read the fucking manual. Second of all, don't copy-paste cargo cult code form the internet, especially if you don't understand what it does. Third of all, don't use the && operator if you just want to have a sequence of commands on a single line. Fourth of all, if you insist on using the && conditional execution operator (yes, it really means, "short-circuit AND depending on the return code of the previous command", i.e. "cmd1 && cmd2" is equivalent to "if cmd1; then cmd2; fi", just like it does in C and presumably the current hip scripting language everybody thinks is awesome), then please, please also read the manpage for "rm": you could have used the '-f' option, pointlessly, to at least make this && nonsense *work and not fail if the package you installed no longer contains log4j jarfiles.
I mean, it is even more work to type && than ; and the latter actually does what you think it should do.
You know... argh! Headdesk! Hate!!! Bile!!11!!1! Can someone PLEASE make a Youtube tutorial or Stack Overflow topic or TicToc bloop on how to use the semicolon operator in Bash. Because, obviously, today's crop of "programmers" (and I use this word in the most loose, general sense possible) can not read any more. least of all, manuals. But I'm sure they love TicToc. Their "code" looks like they do.
Please go back to playing candy crush, or whatever it is kids these days play. Don't ship "code" you don't understand. Don't "code" at all. Go away.
#rant #docker #RTFM #hipsters #attentionDeficitTeenagers #log4j #hate
"Der Fehler des ersten Hotpatches liegt Sicherheitsforschern zufolge darin, dass er jeden Prozess, der eine Binärdatei mit "java" im Namen hat, patcht – das geschehe mit erhöhten Rechten. So könnte Schadcode mit "java" im Namen etwa aus Containern ausbrechen."
:facepalm
On they go with #Log4j more than 2 months later https://www.scmagazine.com/analysis/vulnerability-management/apache-head-no-programming-tool-would-have-caught-log4j-bug promoting this agenda: http://techrights.org/2022/01/14/white-house-security-theatre/
It's already February (2+ months later) and #microsoft outposts like #securityboulevard STILL used #log4j for FUD. See http://techrights.org/2019/09/09/attacking-foss-by-proxy/
The #Apache #Log4j team talks about the #Log4Shell patching process - The Record by Recorded Future ⚓ https://therecord.media/the-apache-log4j-team-talks-about-the-log4shell-patching-process/
● NEWS ● #TheWallStreetJournal ☞ White House Convenes #freesw Security Summit Amid #Log4j Risks https://www.wsj.com/articles/white-house-convenes-open-source-security-summit-amid-log4j-risks-11642119406 "Microsoft Corp." stacked by the worst culprits, as usual: http://techrights.org/2021/05/02/ransomware-task-force/
#Log4j attacks remain low-key compared to infosec industry hype https://itwire.com/security/log4j-attacks-remain-low-key-compared-to-infosec-industry-hype.html
● NEWS ● #ThreatPost ☞ #FTC to Go After Companies that Ignore #Log4j https://threatpost.com/ftc-pursue-companies-log4j/177368/ it should also go after companies that deploy #microsoft http://techrights.org/2020/06/09/windows-disaster-zones/
#Java is only in third place behind #C is that because of #ORACLE? Or is that because of all the dependencies and frameworks in Java where #log4j was just the tip of the iceberg?
#development #coder #programmer #software #news #program #code
Image von Open Source Programmen in Gefahr?
Schon vor 3 Wochen hatten wir über die Sicherheitslücke Log4j berichtet. Diese in vielen Softwarepaketen enthaltene Funktion zum Loggen der Arbeit dieser Software ist ein Open Source Produkt, d.h. sie ist in freiwilliger Arbeit und meist ohne Bezahlung entstanden.
Birgt diese Sicherheitslücke nun die Gefahr das gute Image von Open Source Programmen zu gefährden? Diese Gefahr besteht nicht, denn wie "Wired" bereits 2004 feststellte, erweist sich im Allgemeinen Open Source Software als viel sicherer als kommerzielle Varianten. So werden im Quellcode des frei verfügbaren Betriebssystems Linux durchschnittlich 0,17 Fehler pro 1000 Zeilen Code gefunden aber in den kommerziellen Systemen sind es zwischen 20 und 30.
Lassen wir uns diese Zahlen mal auf der Zunge zergehen: Gut bezahlte Programmierer in den Büros der Internetgiganten Google, Apple und Microsoft machen 100 bis 200-mal mehr Fehler als Menschen, die in ihrer Freizeit und mit Lust und Laune programmieren. Hinzu kommt noch, dass die Programmierer in den Konzernen von Abteilungen der Qualitätssicherung kontrolliert werden, die es trotzdem nicht schaffen diese Fehler zu bemerken und zu korrigieren.
Manon Bischoff stellt auf spektrum.de dazu fest:
Während angestellte Informatiker in Firmen nicht selten sechsstellige Jahresgehälter beziehen, finanzieren sich Personen, die an Open-Source-Projekten arbeiten, über Spenden. Tatsächlich hatte Ralph Goers, der Log4j in seiner Freizeit (neben seinem Vollzeitjob) verwaltet, bis vor Kurzem lediglich drei Förderer auf der Software-Plattform »GitHub«. Auch Volkan Yazıcı, der an Log4j mitarbeitet, beschwert sich auf Twitter: "Wir haben ununterbrochen an Maßnahmen gearbeitet … Doch nichts hält die Leute davon ab, uns wegen einer Arbeit zu beschimpfen, für die wir nicht einmal bezahlt werden …"
Auch ihre Recherche ergibt, dass trotz Log4j und dem Verweis auf die Heartbleed Lücke vor einigen Jahren, ebenfalls in Open Source Software, frei verfügbare Quellcodes viele Vorteile bieten, die weit über die "finanzielle Aspekte" (= die Ausbeutung der Programmierer) hinausgehen. Software, die nicht an die festen Strukturen gebunden ist, die ein Unternehmen stets vorgibt, kann Anwendungen ermöglichen, die anfangs vielleicht gar nicht angedacht waren. Auch die freie Diskussion unter den Entwicklern schafft Möglichkeiten, die im fest geschlossenen Geheimlabor eines Unternehmens nicht entstehen können.
Unser Fazit bleibt also das Gleiche, wie in dem Artikel vor 3 Wochen: ... in Deutschland könnte das BSI mit der Digitalisierungs-geilen neuen Koalition im Rücken endlich mal Position für Open Source Software beziehen - aber das geht der unternehmensfreundlichen FDP sicher wieder zu weit. Mit poliiitscher und finanzieller Unterstützung für Open Source in den letzten 20 Jahren sähe die Software-Landschaft aber auch die Digitalisierung in Europa anders aus.
Mehr dazu bei https://www.spektrum.de/news/log4j-sicherheitsluecke-und-open-source/1961080
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/7881-20220102-open-source-stabiler-und-besser.htm
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/7881-20220102-open-source-stabiler-und-besser.htm
Tags: #Log4j #Lücke #Schwachstelle #OpenSource #Apple #Microsoft #Facebook #Google #Verbraucherdatenschutz #Datenschutz #Datensicherheit #Smartphone #Handy #App #Verhaltensänderung #Profit #EU #Cyberwar #Hacking #Trojaner #Vielfalt #Anwendbarkeit
Log4j 2.17.1 out now, fixes new remote code execution bug https://www.bleepingcomputer.com/news/security/log4j-2171-out-now-fixes-new-remote-code-execution-bug/
That escalated quickly
Next #log4j patch is out
Josh Bressers: Episode 303 – #Log4j Christmas Spectacular! http://www.tuxmachines.org/node/158990?page=1#comment-32307
'Presstitutes' of #microsoft still trying to suck whatever is left of FUD associated with #Log4j and #Log4Shell even though most people patched that ages ago (more than a week ago)
