log4j vulnerabilidades

Son innumerables las noticias sobre una vulnerabilidad grave en una librería muy, muy utilizada en el ecosistema java

https://www.cyberkendra.com/2021/12/fourth-log4j-rce-vulnerability.html

https://youtu.be/Opqgwn8TdlM 

https://www.techsolvency.com/story-so-far/cve-2021-44228-log4j-log4shell/

https://arstechnica.com/information-technology/2021/12/patch-fixing-critical-log4j-0-day-has-its-own-vulnerability-thats-under-exploit/

Por la cantidad de formas de explotarla y las vulnerabilidades que aperecen tras un parche... parece que hay algo "roto" de base

https://www.cyberkendra.com/2021/12/fourth-log4j-rce-vulnerability.html

Es lógico, por tratarse de una librería muy popular que afecta a muchos sitemas

Pero algunas de las noticias son curiosas

Aquí alguno que ha sufrido las consecuencias y no quiere pagar el rescate

https://www.bleepingcomputer.com/news/security/fintech-firm-hit-by-log4j-hack-refuses-to-pay-5-million-ransom/

 Otra curiosa... china sanciona a Alibasba por no compartir esta vulnerabilidad 0-day con ellos

https://thehackernews.com/2021/12/china-suspends-deal-with-alibaba-for.html

 Se trata de una librería enormemente popular, utilizada entre otros por grandes empresas.

Software libre, y estas grandes empresas, "poco" han aportado a esta librería.

Hay muchas quejas, pero se trata de un proyecto en el que trabajan 3 personas en su tiempo libre, y nadie les agradece ni consiguen un café por este proyecto.

Triste y sorprendente



 

Comentarios

Publicar un comentario

Entradas populares de este blog

Software libre

Sólo puedo decir cosas muy buenas del software libre. Le debo mucho. Aunque esta entrada sea larga, no es más que una reducida visión del software libre. No hablaré de los tipos de licencias, ni de las 4 libertades, ni de cómo empezó. Sólo algunas observaciones relevantes en el mundo de la empresa y el software libre. He trabajado y utilizado software privativo. Alguno era de gran calidad. También he trabajado con software libre de enorme calidad. Este último modelo, me da más tranquilidad. "Killer applications" No es que tengamos algunos sistemas extraordinarios en el ecosistema del software libre, es que gran parte de las aplicaciones más populares, utilizadas, críticas y vitales, son software libre. GCC El compilador o colección de compiladores. Multitud de lenguajes de programación, multitud de plataformas de hardware, multitud de sistemas operativos... ¿Quién puede rivalizar con este supercompilador? Linux Sistema operativo bastante popular. Utilizado sin
Leer más

Servicios, servicios, servicios... (y Amazon)

 Hace ya tiempo que el modelo de desarrollo orientado a servicios se ha convertido en algo popular. Y no lo ha sido quizá por el convencimiento de los "programadores", sino por el empuje de las modas de las grandes tecnológicas (Amazon, google...) Y eso tiene algo delicado, entender el modelo de servicios no es trivial, y mal entendido, puede generar más problmeas que beneficios. Yo personamente, empecé a jugar con aplicaciones 100% distribuidas hace mucho, año 2000, aprox. (una pizarra de precios "peer-to-peer"). Esto fue un gran entrenamiento. No conocía en aquella época el celebérrimo CAP, sus discusiones y evoluciones posteriores. Luego, lideré (por efecto "frente ruso") un proyecto en el que apliqué un modelo orientado a servicios y microservicios, realizado muchas tareas con pipelines de microservicios. La experiencia fue un éxito rotundo y muy agradable. Inicialmente no se entendía bien el modelo. Extrañaba que no funcionásemos con una bbdd sql para
Leer más

Tecnologías divertidas

Lo que más me divierte, es aprender (más incluso que montar en bici). Cualquier tema vale, mientras consiga aprender... Casi de forma continua tenemos oportunidades de aprender cosas. En informática y tecnología, tenemos la oportunidad de aprender muchas cuestiones lógicas, especialmente gracias al software libre . show me some techs Pulsa el botón, y aparecerá una lista, no completa ni exhaustivamente ordenada de las tecnologías que utilizo y con las que me me divierto.
Leer más