Vlákno názorů k článku
Log4j 2.15.0 a 1.x jsou stále zranitelné, aktualizujte na 2.16.0
od e3k - ja uz mam vsechny jndilookup.class pomazani. ja uz...
-
ještě minulý pátek a v sobotu devops bylo naprosto proti zasahování do produkčního kódu a nějakou třídu tam promazávat. V pondělí se promazávací procedura spouštěla již i na uživatelských stanicích. Placená podpora velkých SW naprosto selhala, někde smluvně, jinde jen důvěrou.
Zpětně vidím velký nedostatek v komunikaci mezi firmami a jejich bezpečnostními týmy. Zkušenosti se nesdílely skoro vůbec, ikdyž někteří dostali echo v pátek, aktivně se to začalo řešit až v úterý. Email jako komunikační prostředek se ukázal neúčinný, WAFy začaly rychle blokovat podle regexpu a bránilo to sdílení informací, takže jsme posílali screenshoty a base64 texty.
Napříč spektrem firem chybí procedury jako udělat rychlou opravu mimo běžný proces, standardní deployment je příliš pomalý a běžné kontrolní mechanismy opravám brání (např. automatické integrační testy blokovaly řadu oprav a bylo nutné he nejdříve upravit). NÚKIB měl vydat opatření už 10. a nikoliv až 15. CSIRT.CZ úlohu plnil dobře a komunikoval. Snad ponaučení na příště.
-
Chyba bylo vydat to v patek. Bez tymu lidi se neobejdete a platit experta na vikendovy prescas je nechutne drahe. O vikendu byla k dispozici max 1/4 firmy celosvetove. V nemecku nula.
Trident je takovy idiot ze mel management oncall a resilo se to pres vikend. Teda aspon nase firma se to snazi resit okamžitě i za cenu zasahu do produktu treti strany. Coz obvykle nedělá.
Nikdo vam ted nebude dobrovolne nic delat. Lidi jsou po covidovych omezenich velmi nachylni na svuj volny cas. Par lidi uz diky akci log4j podalo vypoved. Praci najdou lusknutim prstu.
19. 12. 2021, 07:45 editováno autorem komentáře
