​​​​​Kritische Zero-Day-Lücke in Log4j gefährdet zahlreiche Server und Apps
#Exploit #Log4Shell #Log4j

Apple, Twitter, Amazon und tausende andere Dienste sind anfällig; erste Angriffe laufen bereits․ Admins sollten unbedingt jetzt handeln․

​​​​​Log4j 2․16․0 verbessert Schutz vor Log4Shell-Lücke
#Log4Shell #Log4j #Sicherheitslücke #Update

Die Entwickler härten das Logging gegen weitere Angriffe, während sich der Schutz durch bestimmte Java-Versionen als löchrig erweist․

​​​​​Kommentar zu log4j: Es funktioniert wie spezifiziert
#saukontrovers #Code #Coding #Developer #Entwicklung #Exploits #Java #Log4j #Sicherheit #log4java

Über den Java-Slogan "Write Once, Run Everywhere" wurden schon viele Witze gemacht․ Den log4j-Exploit behandeln viele nun wie einen Bug – aber das ist er nicht․

​​​​​Java-Framework: Spring Native 0․11 verringert Startup-Zeiten dank AOT-Engine
#Java #Log4j #Spring #SpringNative

Version 0․11 bringt eine neue AOT-Engine sowie nativen Support für Spring Boot 2․6 mit․ Das Spring-Team äußert sich zudem zur aktuellen Log4j-Sicherheitslücke․

​​​​​GitHubs Antwort auf die kritische Log4j-Lücke
#GitHub #Log4j #OpenSource #Sicherheit

Nach Bekanntwerden der als kritisch eingestuften Sicherheitslücke im Log4j-Logging-Framework hat der Code-Hoster GitHub Sicherheitshinweise veröffentlicht․

​​​​​Google: OSS-Fuzz soll Log4j-Fehler in Open-Source-Software finden
#Google #Log4Shell #Log4j

Googles Projekt "OSS-Fuzz" zum Testen von Open-Source-Software ist jetzt auf der Suche nach dem Fehler in der Java-Bibliothek Log4Shell․

​​​​​Smart Home: openHAB 3․2 erweitert die JavaScript-Integration
#InternetderDinge #Java #Log4j #SmartHome #openHAB

Zum Erstellen von Skripten für die Rule Engine hat das Release eine überarbeitete JavaScript-Engine an Bord, die eine passende Library mitbringt․

​​​​​Xcode: Hotfix soll Log4j-Lücke umfahren
#AppStore #Apple #Entwicklungsumgebung #Java #Log4j #Sicherheitslücke #Xcode

Apples Entwicklungsumgebung enthält eine angreifbare Version der Java-Logging-Bibliothek log4j․ Beim Upload von iOS-Apps soll aber ein Fix greifen․

​​​​​FTC mahnt zu Log4j-Updates – sonst drohen Klagen
#Datensicherheit #Equifax #FederalTradeCommission #Log4Shell #Log4j #Patchday #Recht #Sicherheit #Sicherheitslücken #USA #Updatepflicht

Die US-Handelsaufsicht erinnert an die Pflicht zum Schutz von Verbraucherdaten․ Sicherheitsprobleme wie bei Log4j nicht zu lösen, kann teuer werden․

​​​​​Google und Microsoft finanzieren Open-Source-Sicherheitskampagne
#Google #Log4j #Microsoft #OpenSource #OpenSSF #Sicherheit

Eine neue Initiative der OpenSSF ist das Ergebnis von Verhandlungen im Weißen Haus․ 5 Millionen US-Dollar fließen in den Schutz von Open-Source-Anwendungen․

​​​​​heise-Angebot: Supply Chain Security: Jetzt noch Frühbucherrabatt für den Thementag sichern
#Log4j #Sicherheit #Softwareentwicklung #SupplyChain #SupplyChainAttack #solarwinds

Die halbtägige Online-Veranstaltung am 26․ April beschäftigt sich mit den Schwachstellen in der Softwarelieferkette und Maßnahmen, um sie abzusichern․

​​​​​Verwirrung um kritische Sicherheitslücke im Umfeld des Spring-Framework
#DoSSchwachstelle #Java #Log4Shell #Log4j #Sicherheit #Spring

Das Spring-Entwicklerteam stellt Patches für zwei Sicherheitslücken zur Verfügung․ Daneben droht jedoch mit Spring4Shell eine weitere Gefahr․

​​​​​Eclipse Foundation erklärt Security zur Chefsache
#Eclipse #Log4j #OpenSource #Sicherheit #Sicherheitslücke #Softwareentwicklung #SupplyChain

Mit Blick auf die wachsenden Gefahren für die Software Supply Chain ernennt die Stiftung Mikaël Barbero zum Head of Security․

​​​​​Nie wieder Log4J: freie Werkzeuge bannen Open-Source-Sicherheitslücken
#LinuxundOpenSource #Log4j #Sicherheit #SoftwareTeilelisten #Softwareentwicklung #SBOM

Moderne Software basiert auf tausenden Open-Source-Paketen – die voller Sicherheitslücken stecken․ Dank SBOM-Tools sind diese jedoch keine unbekannte Gefahr․

​​​​​Zielscheibe Open-Source-Paket: Angriffe 700 Prozent häufiger als vor drei Jahren
#LinuxundOpenSource #Log4j #Sicherheit #Softwareentwicklung

Open-Source-Repositories werden immer häufiger zum Angriffsziel Krimineller․ Allein im letzten Jahr hat Sonatype über 55․000 infizierte Pakete identifiziert․

​​​​​Open Source im Unternehmen: Selbst nutzen? Gerne! Dazu beitragen? Nein, danke․
#Anaconda #LinuxundOpenSource #Log4j #Report #Sicherheit #Studie

Zumindest in der Data-Science-Branche scheint die Bereitschaft, etwas zu Open-Source-Projekten beizutragen, nicht mehr hoch․ Das zeigt ein Report von Anaconda․

​​​​​Software Supply Chain: Die Lehren aus Log4j
#DependencyTrack #Log4j #OWASPDependencyCheck #Security #SoftwareBillsofMaterial #SoftwareSupplyChain #SBOMs

Wie kontinuierliche Software Composition Analysis (SCA) hilft, Risiken in der Software Supply Chain zu erkennen und zu beheben․

​​​​​Log4Shell: Open Source als Gefahr für die Software-Lieferkette
#BSI #Digitalisierung #LinuxundOpenSource #Log4Shell #Log4j #Qualitätssicherung #Security #Sicherheitslücken

In einem Online-Workshop diskutierte das BSI mit Beteiligung von Open-Source-Entwicklern die Konsequenzen der Log4Shell-Lücke․ Leider mit zu wenig Konsequenzen․

​​​​​Logging Facades für Java
#Framework #Java #Log4j #Logging

Logging ein wichtiger Teil der Fehleranalyse․ Allerdings ist das Zusammenführen unterschiedlicher Logging Libs in Java-Anwendungen immer eine Herausforderung․

​​​​​Zutatenliste: BSI stellt Regeln zum Absichern der Software-Lieferkette auf
#BSI #CyberResilienceAct #Cybersecurity #ITSecurity #Lieferketten #Log4j #Resilienz #SBOM #Security #SoftwareBillsofMaterial #SoftwareTeilelisten #Softwareentwicklung #SBOMs #SBOM

Das BSI hat eine Richtlinie für Software Bills of Materials (SBOM) herausgegeben․ Solche Übersichtslisten sollen Sicherheitsdebakeln wie Log4J entgegenwirken․