Notices by Kris (isotopp@infosec.exchange)

https://archive.is/ZRI9X

„Die elektronische Patientenakte hat ein unglaubliches Potenzial“, sagte von der Decken am Mittwoch im Innen- und Rechtsausschusses des Landtags. „Das Beste wäre, wenn es überhaupt kein Widerspruchsrecht gibt und automatisch alles in die elektronische Patientenakte hereinkommt.“

Oh, sie will den Menschen also helfen.

Aber wait, da steht CDU dran.

Jeder kann außerdem der Nutzung der elektronischen Patientenakte widersprechen.

Genau das sieht von der Decken kritisch. Sie hatte im Ausschuss im Landtag über die Messerattacke am Hamburger Hauptbahnhof berichtet, bei der eine psychisch kranke 39-Jährige am 23. Mai 18 Menschen mit einem Messer verletzt hatte.

und vorher

Auch die CDU-Abgeordnete Birte Glißmann sprach sich dafür aus, das Widerspruchsrecht in bestimmten Fällen auszunehmen, beispielsweise bei Fremd- oder Selbstgefährdung.

Keine weiteren Fragen, Euer Ehren. Es geht also, genau wie man bei der Parteizugehörigkeit vermuten kann, um arschlöchrige Überwachung und nicht um reale Hilfsangebote, oder gar Verbesserung von irgendwas.

@cycletux

Es ist mir nicht gelungen, die Originalquelle der Infografik zu finden, aber die Daten in https://www.airliners.de/bahnfahren-aviation-management/51438 zeigen in der Größenordnung vergleichbare Werte. Die Zahlen sind plausibel.

@nixCraft That is not what happens. They are to be brought back as Gig-workers with worse conditions.

That is, the "AI" "deployment" did not fail, but it did work exactly as intended.

Eisheilige11ºC-23ºC, 0mm/0%, Sonnig.

37mm Niederschlag seit Jahresbeginn.

@Natanox Das ist eine Steckdose für Eurostecker, Zweipol. Die Nase verhindert einstecken von Schutzkontakt Steckern

@hart Und meine Axt!

@jerry @masek break even for most fracking is $63ish, so too low an oil price will make fracking in Canada and Texas impossible.

I dint know what y ebreak even price for oil in Russia is

Solarpflicht

Alle Neubauten in Großbritannien müssen ab 2027 mit Solarzellen ausgestattet werden.

https://www.theguardian.com/environment/2025/may/01/solar-panels-fitted-all-new-build-homes-england-by-2027

Der Standard ist hier,

https://www.gov.uk/government/consultations/the-future-homes-and-buildings-standards-2023-consultation/the-future-homes-and-buildings-standards-2023-consultation

und schreibt auch Wärmepumpen, Isolierung, Wärmerückgewinnung in Belüftungen und Energieeffizienz verbindlich vor.

https://bsky.app/profile/willmathis.bsky.social/post/3lnumqws3zc2i

Power Outage in all of Spain, and likely also Portugal, Marokko and maybe parts of France.

https://demanda.ree.es/visiona/peninsula/demandaau/total

https://bsky.app/profile/alepresser.com/post/3lnuncdgj3k2e

Seemes to be a cut-off of the south european power grid to save the rest? "Problem" is rather unspecific.

Wieso heißt es eigentlich BDSM und nicht

@Linkshaender @koehntopp @bodomenke "I chose the experience without arrest and deportation"

Alle Wasserstoffautos in Österreich sind jetzt wertlos: Alle existierenden H2-Tankstellen werden im September geschlossen.

https://www.derstandard.at/3000000266823/sebastian-kurz-traum-zerplatzt-omv-will-alle-wasserstoff-tankstellen-zusperren

Das betrifft 59 Fahrzeuge.

“Erdiges”

#FotoVorschlag

Juhu!

Hier ist https://gcve.eu/.

via @joschi

Ok, wie kriegen also den ersten Fork des CVE-Projektes.

https://chaos.social/@danimo/114346693129070641

https://www.thecvefoundation.org/

Amerikanisch natürlich. Es fehlt jetzt noch ein europäischer Fork und ein chinesischer.

So sieht Fortschritt aus.

https://social.bund.de/@bsi/114346473404284835

Good News! Hier ist auch der EU Fork: EUVD. Wie üblich, wenn EU und BSI involviert sind, in Monaten.

Aber dann haben Eure wichtigen Security-Bugs halt zwei Namen, USVD, und EUVD. Sehr gut, dann sieht man gleich was Phase ist.

Wir brauchen eine Sprache und Prozesse, die Bugs verarbeitet.

Nicht "Security-Bugs."

Sondern alle Bugs, und ihre Schwere und die Mitigationskosten im Kontext UNSERER ORGANISATION kontextualisiert.

"Toll, log4j wurde gefunden und auf einer Konferenz präsentiert." Und ignoriert.
Ein Haufen Minecraft Server gehen runter, Jahre später. Der Bug bekommt eine CVE-Nummer.

Hilft Dir das?

Es beantwortet nicht, ob es Dich betrifft, welche Software es betrifft, wie viele unterschiedlich versionierte Versionen von log4j in diesem Binary sind und was Du statt Subsonic einsetzt, das betroffen ist aber das seit 5 Jahren keine Commits mehr hat.

Software Supply Chain Management hatte geholfen und weitaus früher, weil das schon geklingelt hätte, wenn ein Projekt einschläft, ohne daß Bugs vorliegen.

Nur eine sinnvoll gemanagte Supply Chain kann so was. Aber die ist für alle Bugs.

Oder auch:

CVE (Common Vulnerabilities and Exposures) sind eine Liste von "gemeldeten Security Bugs". Der Bug bekommt eine Nummer der Form CVE-Jahreszahl-Folgenummer.

Mit der CVE gibt es in der Regel eine aussagelose Beschreibung und eine "Bewertung" in Form einer dimensionslosen Zahl und einem String, der die Art des Bugs so beschreibt, wie im Internet Sex-Geschichten nach Art der Kinks kategorisiert werden.

Das Zeug wird dann in der National Vulnerability Database vor sich hin verwaltet (mit Nation ist hier selbstverständlich Trumpistan gemeint).

Als Beispiel

https://nvd.nist.gov/vuln/detail/CVE-2025-0332

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Wie haben hier also die Kinks "Attack Vector: Network", "Attack Complexity: Low", "Privileges: None", "User Interaction: None", "Scope: Unchanged", "Confidientiality: High", "Integrity: High" und "Availability: High" und einen Total Score von 9.8/10.

Was das genau bedeutet muß man sich aus dem Beipackzettel zur NVD raus klauben.

Die Beschreibung dann

In Progress® Telerik® UI for WinForms, versions prior to 2025 Q1 (2025.1.211), using the improper limitation of a target path can lead to decompressing an archive's content into a restricted directory.

und ein Link zur OWASP bzw. CWE:

CWE-22 Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal')

Ist das ein schlimmer Bug?

Das weißt Du nicht. Du weißt nicht, ob ihr die Software einsetzt, wie sie exponiert wird, welche Version ihr einsetzt, ob und wie das durch Eure Konfiguration beeinflußt wird und ob eine Mitigation mehr Schaden anrichten würde als der Bug.

Wie der Score bei Euch ist, oder ob der Score irgendeinen Sinn bei der Mehrzahl der Deployments hat – unklar.

Das heißt, wir bekommen im wesentlichen eine Nummer, eine Beschreibung und einen Link zur Bug-Database des Herstellers.

Das muß alles noch viel mehr weh tun.
Vulnerabilities sind nicht zum Managen da.