Názory k článku Postřehy z bezpečnosti: počítač infikovaný náhledem souboru či e-mailu

K tomu Atlassianu a zranitelné Confluence - oprava (nejdříve workaround a pak i fixnutá verze) už byla k dispozici v pátek večer. Docela nás to zaměstnalo, proto to vím :-)

Pisete, ze Horde neni 5 let udrzovan. Posledni release 5.2.23 vidim pred 2 lety. Master branch ma i par (byt sporadickych) novejsich commitu. Jak tomu mam rozumet?

Asi podle hromadících se (bezpečnostních) problémů - mají spíše přibývající tendenci a jsou dlouhodobě neřešené?

O Follině jsem už posílal zprávičku. Nicméně fajn článek!

Týká se tato zranitelnost horde i uživatelů používající jiné poštovní klienty a ne defaultni webový horde klient?

Urcite sa tyka. Spustit lubovolny kod na strane serveru(kde horde bezi), znamena zvedsa kompromitaciu serveru(podla moznosti eskalacie opravneni). Staci aby jediny uzivatel videl nahlad (ne)spravnej email spravy.

7. 6. 2022, 11:15 editováno autorem komentáře

Tak marne premyslim, proc nas ajtak nasadil Horde ca 2 roky zpatky (prechazelo se z Keria). Ale nasi ajtaci jsou takovi... jak bych to rekl... no nejsou to ty nejostrejsi tuzky v penalu.

Protoze to kdysi asi uz delal a ma nejake konfigurace "v supliku", ktere jen vykopiroval... :-) Prece nebude ztracet cas studovanim nejakeho noveho reseni.

Jo, to zni pravdepodobne. Precejen ten hlavni ajtak uz neni nejmladsi. I tak to byl zvlastni prechod. Kerio nam tehda nekdo hacknul, tak se preslo na Horde, i presto ze je firmeni tendence vsechno outsourcovat. Navic ajtaci nikdy nemeli na nic cas, a ted to s domacim resenim na Horde je "prekvapive" spis horsi.
Ale co bych tak chtel ve firme, kde bezi nektere servery nezaplatovane (a ajtak je nehodla zaplatovat). No a na skoleni nam rikali ze nemame pouzivat managery hesel, nemame si hesla psat na papirek, ale mame si hesla pravidelne menit a vymyslet je co nejslozitejsi....

[man-facepalming]... snad radsi ani nechci vedet, co je to za cirkus :)

RE. Follina ohrožuje MS Office. " ...nikdo se opravou nezabývá, dokonce byla označena jako „není bezpečnostní problém“.":

Také vám to přijde jako arogance firmy, která se považuje za jednoho z lídrů SW vývoje a která z toho zabugovaného programu rýžuje miliardy dolarů? (Což nezmiňuji kvůli závistivosti, ale jako vstupní informaci pro předpoklad, že by měli mít dost prostředků na opravdu propracované testování i na bleskurychlou opravu chyb.)