Log4Shell lleva días ocupando titulares en todo el mundo, pero la clave está en el origen de la brecha de seguridad: un código desarrollado por un voluntario en su tiempo libre que nadie se había molestado en auditar.
#3:
#1 Que bonitas son las empresas que se quieren aprovechar sin soltar ni un céntimo ni unha hora/trabajo y luego despejan las culpas hacia otro....
¿Quien les ha obligado a usarlo?
Que arreglen el bug, o que no usen el software.
A llorar a la llorería.
#18:
El artículo está todo mal. Ralph Goers es un miembro de la Apache Software Foundation con un amplio historial en librerías de logging de java. Es voluntario sí, pero no es algo que ha hecho "en su tiempo libre" y nadie se ha molestado en revisar, como si lo hubiera hecho "mal y pronto". Es simplemente un bug de tantos. https://github.com/rgoers
No lo revisa nadie, porque el que sabe es él. El es el creador de log4j2.
Que esta librería está en todo internet sirve para hacerse una idea los millones de horas que trabajo que ha evitado a los equipos que querían un sistema de logging y han usado directamente log4j2.
El opensource, como todo, tiene defectos. Pero, que Ralph sea voluntario, no es el problema sino la causa de su éxito. El periodista debería enterarse algo mejor de hasta donde ha llegado el opensource y por qué ha llegado hasta alli.
#2:
#1 lo bonito son los que se aprovechan sin donar ni contribuir, y luego lloran.
#8:
#1 ¿Qué tiene de utópico el software libre? Es una realidad que ha demostrado sobradamente que funciona. Un error no invalida las bondades y los logros del software libre.
Estas cosas también pasan en el software privativo.
#4:
#1 pues sí, en mundo de software libre es la leche, pero te advierto que eso mismo, e incluso cosas peores, pasan con el software privativo.
El artículo está todo mal. Ralph Goers es un miembro de la Apache Software Foundation con un amplio historial en librerías de logging de java. Es voluntario sí, pero no es algo que ha hecho "en su tiempo libre" y nadie se ha molestado en revisar, como si lo hubiera hecho "mal y pronto". Es simplemente un bug de tantos. https://github.com/rgoers
No lo revisa nadie, porque el que sabe es él. El es el creador de log4j2.
Que esta librería está en todo internet sirve para hacerse una idea los millones de horas que trabajo que ha evitado a los equipos que querían un sistema de logging y han usado directamente log4j2.
El opensource, como todo, tiene defectos. Pero, que Ralph sea voluntario, no es el problema sino la causa de su éxito. El periodista debería enterarse algo mejor de hasta donde ha llegado el opensource y por qué ha llegado hasta alli.
#30 Cualquier artículo sobre un tema que requiere especialización escrito en un medio generalista suele ser una sarta de tonterías. Nosotros nos damos cuenta de que los artículos de informática son una sarta de tonterías porque es nuestro campo, pero me juego un desayuno a que cualquier matemático, físico, astrónomo, etc. que vea un artículo de su campo respectivo en un medio generalista también encontrará una buena sarta de tonterías.
#18 Viendo la calidad de tu comentario, tengo sentimientos encontrados para votar la noticia como sensacionalista, porque no quiero que se pierda tu intervención.
En fin, te la marcaré como favorita y votaré sensacionalista.
#9 te recuerdo una miembra del gobierno, famosa por despido en diferido pidiendo voluntarios de gratis para la ciberdefensa del país, con disponibilidad de 24 horas???
#7 claro que puedes quejarte, tambien con el software libre. Nosotros hemos descubierto esta semana un bug en Azure DevOps que nos impacta directamente, y los de Microsoft nos han dicho que contemos 6 meses para que lo arreglen (vamos, que lo arreglaran si se acuerdan cuando les de la gana) y mi empresa suelta mucha pasta a Microsoft, del orden de 20 millones de euros al ano.
Vamos que lo de que "pagando San Pedro canta" igual es verdad.... pero vete tu a saber cuando se pondra a cantar, el jodio.
#5 Realmente no. Fue descubierto un error y se solucionó bastante rápido.
Los que encuentran errores no son las personas que quieren explotarlos.
Lo único que tienen que hacer los responsables de los sistemas es estar pendientes de las alertas diarias que los organismos públicos envían de forma gratuita e implementar los arreglos de inmediato.
¿Se puede saber que hostias hace una librería, que sirve básicamente para logear mensajes, implementando patrones de log que pueden incluir una url remota de un servidor LDAP para hacer no se sabe qué y encima de manera insegura?
Se han pasado el principio KISS por donde yo me sé y las consecuencias han sido catastróficas.
Que bonito es el ecosistema del software libre. Quizás hay que dejar de pensar en el mundo como algo utópico e imponer un sistema de revisión como dios manda.
#14 El problema es que dar un numero cerrado es muy complicado. Depende de lo importante que sea lo que quieras auditar, del tamano del proyecto, del numero de lenguajes, ... Yo trabajo para una empresa para la que dependemos bastante de packer y ansible (en mi equipo) y cada pocas semanas estoy subiendo revisiones, modificaciones, extensiones, ... porque es un codigo que usamos y me interesa que este bien hecho... pero coincido plenamente con #3 que hay muchas empresas que se lo encuentran hecho, se parchean lo suyo si tienen algun problema (pero no contribuyen con ese parche al proyecto, porque es "propiedad intelectual" ) y luego se ponen a llorar si hay algun problema.
#7 y con el software libre te pueden decir que porqué no has auditado el código que usas, y porque no lo has corregido.
En el software privativo te dirán... Ya lo arreglaremos.
#28 "Su uso estaba muy extendido porque era útil y sencillo y, como era tan conocido, se daba por hecho que había sido revisado por otros usuarios. La realidad ha demostrado ser todo lo contrario."
Que no te leas el envío y digas la primera parida que se te pasa por la cabeza también tiene guasa.
#31 Lo que dan por hecho y no comprueban en la empresa privada está bien, claro que sí. Solo está mal que alguien trabajando gratis no lo haya comprobado, pero no está mal que alguien cobrando no lo haya comprobado.
Y dices que digo paridas. No serás imbécil, pero quedas cerca.
#1 ¿Qué tiene de utópico el software libre? Es una realidad que ha demostrado sobradamente que funciona. Un error no invalida las bondades y los logros del software libre.
Estas cosas también pasan en el software privativo.
Comentarios
El artículo está todo mal. Ralph Goers es un miembro de la Apache Software Foundation con un amplio historial en librerías de logging de java. Es voluntario sí, pero no es algo que ha hecho "en su tiempo libre" y nadie se ha molestado en revisar, como si lo hubiera hecho "mal y pronto". Es simplemente un bug de tantos.
https://github.com/rgoers
No lo revisa nadie, porque el que sabe es él. El es el creador de log4j2.
Que esta librería está en todo internet sirve para hacerse una idea los millones de horas que trabajo que ha evitado a los equipos que querían un sistema de logging y han usado directamente log4j2.
El opensource, como todo, tiene defectos. Pero, que Ralph sea voluntario, no es el problema sino la causa de su éxito. El periodista debería enterarse algo mejor de hasta donde ha llegado el opensource y por qué ha llegado hasta alli.
#18 Éso he pensado yo.
Sensacionalista, pero ya estamos acostumbrados en noticias sobre IT, donde el que lo escribe no está quizá muy familiarizado y busca titular.
#30 Cualquier artículo sobre un tema que requiere especialización escrito en un medio generalista suele ser una sarta de tonterías. Nosotros nos damos cuenta de que los artículos de informática son una sarta de tonterías porque es nuestro campo, pero me juego un desayuno a que cualquier matemático, físico, astrónomo, etc. que vea un artículo de su campo respectivo en un medio generalista también encontrará una buena sarta de tonterías.
CC #18 #29
#18 Un artículo de informática en un medio generalista se presta a que sea un sarta de tonterías.
#18 Viendo la calidad de tu comentario, tengo sentimientos encontrados para votar la noticia como sensacionalista, porque no quiero que se pierda tu intervención.
En fin, te la marcaré como favorita y votaré sensacionalista.
Horrible usar voluntarios, mínimo un becario que de charlas se necesita.
#9 te recuerdo una miembra del gobierno, famosa por despido en diferido pidiendo voluntarios de gratis para la ciberdefensa del país, con disponibilidad de 24 horas???
#7 claro que puedes quejarte, tambien con el software libre. Nosotros hemos descubierto esta semana un bug en Azure DevOps que nos impacta directamente, y los de Microsoft nos han dicho que contemos 6 meses para que lo arreglen (vamos, que lo arreglaran si se acuerdan cuando les de la gana) y mi empresa suelta mucha pasta a Microsoft, del orden de 20 millones de euros al ano.
Vamos que lo de que "pagando San Pedro canta" igual es verdad.... pero vete tu a saber cuando se pondra a cantar, el jodio.
#21 y eso que Microsoft no es de los peores a la hora de arreglar cosas y dar soporte a usuarios.
#21 ¿Se los sueltas en el ano?
#39 Sí... Escribí desde el portatil de mi mujer, que tiene el mapeo de teclado en americano y... Ni acentos, ni ñ, ni nada...
A ver, que yo me entere. ¿Una sola persona puede cargarse todo Internet?
#5. Sólo Linus Torvald tiene ese poder...
#5 #10 Creo que os habeis olvidado la saga de leftpad en NPM.
https://qz.com/646467/how-one-programmer-broke-the-internet-by-deleting-a-tiny-piece-of-code/
#5 Realmente no. Fue descubierto un error y se solucionó bastante rápido.
Los que encuentran errores no son las personas que quieren explotarlos.
Lo único que tienen que hacer los responsables de los sistemas es estar pendientes de las alertas diarias que los organismos públicos envían de forma gratuita e implementar los arreglos de inmediato.
#5 el open source nos matará a todos
#5 no, pero el clickbait sí.
#5 claro! Mete Google en Google y ya verás 😀
#0 duplicada me parece Tres desarrolladores que trabajan gratis han evitado pérdidas millonarias a algunas de las mayores compañías tecnológicas del mundo
Tres desarrolladores que trabajan gratis han evita...
genbeta.com#14 Por aqui tienes el coste de varios proyectos: https://www.coreinfrastructure.org/programs/audit-program/
#19 #20 Gracias a ambos
¿Se puede saber que hostias hace una librería, que sirve básicamente para logear mensajes, implementando patrones de log que pueden incluir una url remota de un servidor LDAP para hacer no se sabe qué y encima de manera insegura?
Se han pasado el principio KISS por donde yo me sé y las consecuencias han sido catastróficas.
#37 El mundo java es poco amigo del KISS.
#31 Por qué dices que no se lo ha leído?
Que bonito es el ecosistema del software libre. Quizás hay que dejar de pensar en el mundo como algo utópico e imponer un sistema de revisión como dios manda.
#1 lo bonito son los que se aprovechan sin donar ni contribuir, y luego lloran.
#1 #2
.
#1 Que bonitas son las empresas que se quieren aprovechar sin soltar ni un céntimo ni unha hora/trabajo y luego despejan las culpas hacia otro....
¿Quien les ha obligado a usarlo?
Que arreglen el bug, o que no usen el software.
A llorar a la llorería.
#1 #3 Cuanto puede costar pedir una revision profesional? Solo por curiosidad, se que hay mucha gente del mundillo por meneame.
#14 El problema es que dar un numero cerrado es muy complicado. Depende de lo importante que sea lo que quieras auditar, del tamano del proyecto, del numero de lenguajes, ... Yo trabajo para una empresa para la que dependemos bastante de packer y ansible (en mi equipo) y cada pocas semanas estoy subiendo revisiones, modificaciones, extensiones, ... porque es un codigo que usamos y me interesa que este bien hecho... pero coincido plenamente con #3 que hay muchas empresas que se lo encuentran hecho, se parchean lo suyo si tienen algun problema (pero no contribuyen con ese parche al proyecto, porque es "propiedad intelectual" ) y luego se ponen a llorar si hay algun problema.
#14 Crees que eso garantiza la ausencia de Bugs?
#1 pues sí, en mundo de software libre es la leche, pero te advierto que eso mismo, e incluso cosas peores, pasan con el software privativo.
#4 sí, pero con el software privativo sabes que, al menos, tienes derecho a quejarte.
#7 a protestar si, para quejarte vas a tener las puertas cerradas.
#7 y con el software libre te pueden decir que porqué no has auditado el código que usas, y porque no lo has corregido.
En el software privativo te dirán... Ya lo arreglaremos.
#1 Que lo comentes en una noticia sobre una librería que usan multitud de empresas de software privativo tiene cierta guasa.
#7 Derecho a quejarte tienes el mismo con ambos modelos.
Que te vayan a hacer caso, lo mismo en ambos modelos.
#28 "Su uso estaba muy extendido porque era útil y sencillo y, como era tan conocido, se daba por hecho que había sido revisado por otros usuarios. La realidad ha demostrado ser todo lo contrario."
Que no te leas el envío y digas la primera parida que se te pasa por la cabeza también tiene guasa.
#31 Lo que dan por hecho y no comprueban en la empresa privada está bien, claro que sí. Solo está mal que alguien trabajando gratis no lo haya comprobado, pero no está mal que alguien cobrando no lo haya comprobado.
Y dices que digo paridas. No serás imbécil, pero quedas cerca.
#7 JJJAJAJJAJJAJAJJAJAJA. No. No warranty. Leéte los EULAs hazme el favor.
#1 ¿ Cuanto pagas ?
#1 ¿Qué tiene de utópico el software libre? Es una realidad que ha demostrado sobradamente que funciona. Un error no invalida las bondades y los logros del software libre.
Estas cosas también pasan en el software privativo.
#8 o en el hardware
#1 lo bonito es ver hablar a la gente sin tener ni puta idea