Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Chiński regulator telekomunikacyjny zawiesza współpracę z Alibaba Cloud. Odkrywając krytyczną podatność w Log4j, mieli ją zgłosić do chińskiego rządu, a nie uderzać od razu do twórców biblioteki…
Wg różnych doniesień, pierwszym który zgłosił podatność log4shell do twórców biblioteki, był Chen Zhaojun pracujący w Alibaba Cloud.
Twórcy przygotowywali łatkę… i wszystko szło by dobrze, gdyby nie fakt, że podatność nie została jednocześnie zgłoszona do chińskiego rządu:
Alibaba Cloud did not immediately report vulnerabilities in the popular, open-source logging framework Apache Log4j2 to China’s telecommunications regulator (…) In response, MIIT suspended a cooperative partnership with the cloud unit regarding cybersecurity threats and information-sharing platforms.”
Pociesza, że restrykcje nie są jakieś drakońskie (czasowe zawieszenie współpracy dotyczącej bezpieczeństwa oraz dzielenia się związanymi z tym informacjami). Tzn. nie są drakońskie oficjalnie, nieoficjalnie trudno stwierdzić co tak na prawdę grozi zarówno Alibaba Cloud jak i osobie, która zgłosiła lukę…
Przypominamy, że Chiny wprowadziły niedawno nowe prawo, dotyczące postępowania z podatnościami (w tym 0-dayami).
~Michał Sajdak
komuniści są czymś gorszym niż log4j
Zabraklo troche info o tym, czym jest MIIT.
Wg mnie używanie wg jako pierwszego „słowa” w „artykule” powinno być nielegalne.
@Elon musk
Wg mnie nie