ELGA Referenzclient hat log4j vulnerability – Mario Zechner on Twitter
Hab gestern den ELGA GmbH GitLab account + public repos gefunden. Key take aways:
– Umsetzungspartner ET-Innovations/ArztIS (selber GF).
– ELGA ref client hat log4j vulnerability.
– ArztIS teilt wohl Code mit ref client.Initial couch "audit" here:https://t.co/ykgK9p8zAR
— Mario Zechner (@badlogicgames) January 9, 2022
6 comments
Wer hätte gedacht, dass da nicht flexibet reagiert wird?
Jetzt bin ich aber verwundert…
/s
Die Dependencies von “Referenzcode” sind ziemlich irrelevant, weil es um den Code selbst geht. Dass man seine dependencies in richtigem production-code up2date halten sollte versteht sich von selbst.
Bei allem Respekt, aber dieser Mario Zechner (heute zum ersten mal von ihm gehört) ist ein Volltrottel. Wenn ich so etwas finde, schreib ich dem Hersteller direkt und veröffentliche nicht auch noch die Angriffsvektoren auf Twitter. Mach das mal bei größeren Unternehmen. Da wirst ordentlich verklagt. Das ist nur Haten und Aufmerksamkeit generieren. Dem gehts nicht um Sicherheit und er will auch nicht irgendwas verbessern. Der will nur sein Ego füttern.
Responsible Disclosure anyone?
Wenn die Entwickler von den log4j vulnerabilities noch immer nichts mitbekommen haben und dieser Tweet ausschlaggebend ist dann läuft aber eh schon was gewaltig daneben. Vorallem wenn man bedenkt wie es mit unserer Datensicherheit und dem Datenschutz bei unseren Gesundheitsdaten zugeht.
Ich verstehe die Aufregung nicht. Ist doch alles scheißegal.
In den Arztpraxen hat man eh noch nicht von Windows XP auf Windows 7 geupgraded. Wo ist also das Problem????