37C3: Übertreibt es nicht mit der Softwareisierung – Geheimnisverlust drohtImmer mehr Hardwarefunktionen werden in Software abgebildet. Etwa bei der passwortlosen Anmeldung beschert dieser Trend Hackern jedoch Sicherheitsalbträume.
Grundlagen effektiven SchwachstellenmanagementsDie enorme Zunahme an neuen Schwachstellen hat die Anforderungen an den Umgang mit ihnen verändert: Die zentrale Aufgabe heute heißt Priorisierung.
heise+ Aktionsangebot 1 Jahr heise+ zum Aktionspreis: Jetzt heise+ für nur 1,90 € pro Woche lesen und 1 Jahr lang geballtes, brandaktuelles IT- und Tech-Wissen sichern. Unbegrenzter Zugriff auf alle heise+ Beiträge inklusive der Inhalte aller Heise-Magazine. Nur bis zum 31. Mai!
Logging Facades für JavaLogging ein wichtiger Teil der Fehleranalyse. Allerdings ist das Zusammenführen unterschiedlicher Logging Libs in Java-Anwendungen immer eine Herausforderung.
Mittwoch: Bing und Edge mit KI-Bildern, Datenhehler-Forum schließt wegen FBIDall-E erzeugt Bilder für Bing und Edge + Ende des Breachforums + Konsequenzen der Log4Shell-Lücke + Amazon schließt Foto-Website + TikToks neue Richtlinien
Log4Shell: Open Source als Gefahr für die Software-LieferketteIn einem Online-Workshop diskutierte das BSI mit Beteiligung von Open-Source-Entwicklern die Konsequenzen der Log4Shell-Lücke. Leider mit zu wenig Konsequenzen.
Software Supply Chain: Die Lehren aus Log4jWie kontinuierliche Software Composition Analysis (SCA) hilft, Risiken in der Software Supply Chain zu erkennen und zu beheben.
Über Log4j: US-Behörde vom Iran attackiert, Cryptominer installiertDie CISA hat einen Angriff auf eine ungenannte US-Regierungsinstitution registriert, bei dem die Log4j-Lücke ausgenutzt wurde. Die bleibt ein Problem.
AlertKritische Sicherheitslücke in Apache Commons TextIn der String-Verarbeitungskomponente Apache Commons Text klafft eine kritische Sicherheitslücke. Angreifer könnten durch sie Schadcode einschleusen.
UpdateLog4J-Lücke: Gematik sperrt TI-Zugang für 300 Konnektoren des Gesundheitswesens Die für das Gesundheitswesen zuständige Gematik sperrt 300 Konnektoren mit Log4j-Sicherheitslücke Ende Oktober. Das nötige Update gibt es seit Dezember 2021.
Open Source im Unternehmen: Selbst nutzen? Gerne! Dazu beitragen? Nein, danke.Zumindest in der Data-Science-Branche scheint die Bereitschaft, etwas zu Open-Source-Projekten beizutragen, nicht mehr hoch. Das zeigt ein Report von Anaconda.
Zielscheibe Open Source: Angriffe acht mal häufiger als vor drei JahrenOpen-Source-Repositories werden immer häufiger zum Angriffsziel Krimineller. Allein im letzten Jahr hat Sonatype über 55.000 infizierte Pakete identifiziert.
Nie wieder Log4Shell: freie Werkzeuge bannen Open-Source-SicherheitslückenModerne Software basiert auf tausenden Open-Source-Paketen – die voller Sicherheitslücken stecken. Dank SBOM-Tools sind diese jedoch keine unbekannte Gefahr.
AlertAngreifer nutzen kontinuierlich Log4Shell-Lücke in VMware Horizon ausDie Cybersecurity & Infrastructure Security Agency warnt vor Attacken auf die Virtualisierungslösung VMware Horizon. Admins sollten zügig handeln.
AlertAWS: Amazon-Hotpatch für log4j-Lücke ermöglicht RechteausweitungIn einem Skript zum Absichern vor der log4j-Lücke von Amazon findet sich eine Sicherheitslücke. Angreifer könnten ihre Rechte damit ausweiten.
Eclipse Foundation erklärt Security zur ChefsacheMit Blick auf die wachsenden Gefahren für die Software Supply Chain ernennt die Stiftung Mikaël Barbero zum Head of Security.
AlertLagebild: Gefahr durch kritische Log4Shell-Lücke ungebrochenSicherheitsforscher stoßen auf zahlreiche Dienste, die noch ungepatchte Log4j-Bibliotheken einsetzen. Rund 40 Prozent der Downloads sind verwundbare Versionen. Kommentar zu Log4j: Es funktioniert wie spezifiziertLog4Shell: Eine Bestandsaufnahme
Warum in Frankfurt das digitale Parkleitsystem nur mit Handarbeit funktioniertDas System galt einst als vorbildlich. Doch mittlerweile ist die Technik veraltet. Und aufgrund einer Sicherheitslücke mussten Verbindungen gekappt werden.
AlertPatch gegen Log4Shell für Amazon Web Services reißt neue Sicherheitslöcher aufDa das erste Log4j-Sicherheitsupdate für AWS fehlerhaft ist und neue Attacken ermöglicht, gibt es nun eine reparierte Version.
AlertVerwirrung um kritische Sicherheitslücke im Umfeld des Spring-Framework Das Spring-Entwicklerteam stellt Patches für zwei Sicherheitslücken zur Verfügung. Daneben droht jedoch mit Spring4Shell eine weitere Gefahr.
Supply Chain Security: Jetzt noch Frühbucherrabatt für den Thementag sichernDie halbtägige Online-Veranstaltung am 26. April beschäftigt sich mit den Schwachstellen in der Softwarelieferkette und Maßnahmen, um sie abzusichern.
UpdateE-Rezept: Transparenz-Initiative der Gematik um "TI-Score" erweitertDie für die Telematikinfrastruktur des Gesundheitswesens zuständige Gematik erweitert ihre "Transparenz-Offensive" um den aktuellen Stand der Softwareanbieter.
Patch me if you can: Falsch positiv? Auch eine Art, ein Unternehmen lahmzulegenDas war knapp. Beinah wäre der Kolumnist einem Fehlalarm auf den Leim gegangen. Aber was, wenn jemand aus so etwas einen Angriff konstruiert?