Notices by Kris (isotopp@infosec.exchange), page 2

Juhu!

Hier ist https://gcve.eu/.

via @joschi

Ok, wie kriegen also den ersten Fork des CVE-Projektes.

https://chaos.social/@danimo/114346693129070641

https://www.thecvefoundation.org/

Amerikanisch natürlich. Es fehlt jetzt noch ein europäischer Fork und ein chinesischer.

So sieht Fortschritt aus.

https://social.bund.de/@bsi/114346473404284835

Good News! Hier ist auch der EU Fork: EUVD. Wie üblich, wenn EU und BSI involviert sind, in Monaten.

Aber dann haben Eure wichtigen Security-Bugs halt zwei Namen, USVD, und EUVD. Sehr gut, dann sieht man gleich was Phase ist.

Wir brauchen eine Sprache und Prozesse, die Bugs verarbeitet.

Nicht "Security-Bugs."

Sondern alle Bugs, und ihre Schwere und die Mitigationskosten im Kontext UNSERER ORGANISATION kontextualisiert.

"Toll, log4j wurde gefunden und auf einer Konferenz präsentiert." Und ignoriert.
Ein Haufen Minecraft Server gehen runter, Jahre später. Der Bug bekommt eine CVE-Nummer.

Hilft Dir das?

Es beantwortet nicht, ob es Dich betrifft, welche Software es betrifft, wie viele unterschiedlich versionierte Versionen von log4j in diesem Binary sind und was Du statt Subsonic einsetzt, das betroffen ist aber das seit 5 Jahren keine Commits mehr hat.

Software Supply Chain Management hatte geholfen und weitaus früher, weil das schon geklingelt hätte, wenn ein Projekt einschläft, ohne daß Bugs vorliegen.

Nur eine sinnvoll gemanagte Supply Chain kann so was. Aber die ist für alle Bugs.

Oder auch:

CVE (Common Vulnerabilities and Exposures) sind eine Liste von "gemeldeten Security Bugs". Der Bug bekommt eine Nummer der Form CVE-Jahreszahl-Folgenummer.

Mit der CVE gibt es in der Regel eine aussagelose Beschreibung und eine "Bewertung" in Form einer dimensionslosen Zahl und einem String, der die Art des Bugs so beschreibt, wie im Internet Sex-Geschichten nach Art der Kinks kategorisiert werden.

Das Zeug wird dann in der National Vulnerability Database vor sich hin verwaltet (mit Nation ist hier selbstverständlich Trumpistan gemeint).

Als Beispiel

https://nvd.nist.gov/vuln/detail/CVE-2025-0332

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Wie haben hier also die Kinks "Attack Vector: Network", "Attack Complexity: Low", "Privileges: None", "User Interaction: None", "Scope: Unchanged", "Confidientiality: High", "Integrity: High" und "Availability: High" und einen Total Score von 9.8/10.

Was das genau bedeutet muß man sich aus dem Beipackzettel zur NVD raus klauben.

Die Beschreibung dann

In Progress® Telerik® UI for WinForms, versions prior to 2025 Q1 (2025.1.211), using the improper limitation of a target path can lead to decompressing an archive's content into a restricted directory.

und ein Link zur OWASP bzw. CWE:

CWE-22 Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal')

Ist das ein schlimmer Bug?

Das weißt Du nicht. Du weißt nicht, ob ihr die Software einsetzt, wie sie exponiert wird, welche Version ihr einsetzt, ob und wie das durch Eure Konfiguration beeinflußt wird und ob eine Mitigation mehr Schaden anrichten würde als der Bug.

Wie der Score bei Euch ist, oder ob der Score irgendeinen Sinn bei der Mehrzahl der Deployments hat – unklar.

Das heißt, wir bekommen im wesentlichen eine Nummer, eine Beschreibung und einen Link zur Bug-Database des Herstellers.

Das muß alles noch viel mehr weh tun.
Vulnerabilities sind nicht zum Managen da.

CVE haben sich für eine Reihe von Leuten als Item in ihrem Lebenslauf entwickelt, das CV in CVE steht dann für CV.

"Entdecker von CVE-2019-..., CVE-2020-... und fünf weiteren in 2021, alle mit einem CVSS:3.1 Score von 8 oder mehr." "Oh, toll! Den stellen wir ein! Dann sind wir sicher!"

Does anyone here speak l335?
j0.

https://megatokyo.com/strip/9

Wir machen das mit den CVE-Nummern also für bestimmte Bugs, "Security Bugs", aber nicht für andere Bugs – alle anderen.

Ein Freund sagt:

Die CVEs sind Bookkeeping. Das ist wichtig und sinnvoll, aber es rettet Deine Cybersecurity nicht. Es erleichtert aber, darüber zu reden.

und in derselben Discord Message einen Absatz weiter unten

Von allen kritischen Lücken der letzten Jahre hatte ich erfahren, bevor der CVE raus war.

Ich fasse ihn zusammen:

Du hast von den CVE erfahren, bevor sie CVE waren und ohne den CVE Prozess.
Der ist also nicht entscheidend gewesen für für Informationsverbreitung und nicht für die Bewertung und nicht für das Handeln.

Der CVE gibt Dir also eine Bugnummer. Das ist alles. Man könnte auch den Bug im Bugtracker des jeweiligen Projektes referenzieren, jedenfalls bei der Software, die OSS ist – das Problem sind eher die unsichtbaren Bugtracker von propietärer Software.

Der Linux Kernel hat nicht ohne Grund bei dem ganzen CVE Zeug nicht mitgemacht und sich auch geweigert, “Security” bugs anders als andere bugs zu behandeln. Das hat gut funktioniert.

Dann haben Leute an denen vorbei CVE Nummern für Kernel Bugs bestellt, und das hat totales Chaos verursacht.

Die Reaktion der Kernel-Leute war, sich zur CNA machen zu lassen, also selbst CVE-Nummern zu vergeben und dann diese Macht zu nutzen, um CVE-Nummern zu produzieren. Das war dann auch nicht recht, "weil es den Prozess in unserer Organisation überlastet hat."

Je nun.

Wenn Du nicht Linux einsetzt, sondern RedHat, dann lies halt deren Bulletins und halte Dich nicht mit CVE-Nummern auf.

CVE sind ein System zur Verarbeitung von Bugs, das an allen Software Supply Chain und Fehlerbearbeitungen vorbei läuft und Prozesse belastet. Das wäre eventuell okay in Notfällen, aber meist sind es halt keine.

"Meist" as in "weitaus überwiegend."

Das Problem ist, daß "Deine Organisation" kein sinnvolles Software Supply Chain Management hat für Software und ihre Fehler. Deine Org ignoriert das meist, und wenn das nicht geht, dann verwendet sie die CVE um Supply Chain Management zu simulieren.

Das geht nun nicht mehr.

Ich seh das als Chance.

"Spielzeug"

#FotoVorschlag

@Zettelhexer Wieso kann kann die nur einmal verwarnen?

Ich habe in Kiel Dauerparker im Parkverbot gesehen, die für drei Wochen Urlaub 21 Zettel am Scheibenwischer hatten (Knooper Weg, um die Ecke ist die Wache Gartenstraße und jeden Morgen um 8:00 gab es den nächsten Zettel).

Dachte bisher das geht so dann täglich?

Später der Erfinder des JPG, Q=10%

https://chaos.social/@Wikibot/114323490295340122

https://ard.social/@tagesschau/114318409935743924

Offenbar

• https://www.naturgefahrenportal.de/data/v2/alerts/dwd.json
• https://www.naturgefahrenportal.de/data/v2/alerts/lhp.json
• https://www.naturgefahrenportal.de/data/v2/alerts/bsh_nord.json
• https://www.naturgefahrenportal.de/data/v2/alerts/bsh_ost.json
• https://www.naturgefahrenportal.de/data/v2/alerts/mowas.json

Das JSON Schema der beiden Inhalte, die nicht leer sind, scheint identisch zu sein.

Keine Ahnung, wie man das elegant für @homeassistant aufbereitet.

@johl ITYM

Bij „Low Code” (programmeren in een dialect uit de Lage Landen) gaat het zo: iemand schrijft de broncode in het Nederlandse taal, een compiler of interpreter (die bij de programmeertaal hoort) verwerkt dat en levert het resultaat op. Als gewone computergebruiker zie je meestal alleen het resultaat – en dat is genoeg.

https://www.schwaebische.de/regional/zollernalb/albstadt/weil-zu-viel-afd-gewaehlt-wurde-fuer-die-stadt-platzt-der-traum-von-der-neuen-kita-3461964

Erinnert Ihr Euch noch wie die Firma Weck vor einigen Jahren doch nicht Pleite ging?

Das war vermutlich meine Frau, die alle Lagerbestände aufgekauft hat, weil die gibt es ja bald nicht mehr.

Jedenfalls koche ich also seit damals unsere Marmelade selbst. So alle vier bis sechs Monate vier bis sechs Sorten.

Heute Apfel, mit Zitronensaft und 1:3 zuckerarm, für ein PBJ.

Das Kind lehnt gekaufte Marmelade inzwischen ab. "So süß, man schmeckt die Früchte gar nicht richtig."

@0xabad1dea

Summary of the HN discussion so far

• I trust Rachel and I am uninstalling
• Use btop
• Is that installed anywhere by default?
• Why is she so vague?

and https://news.ycombinator.com/item?id=43478866, https://github.com/Atoptool/atop/blame/037a6d3e4ace6c7be6c5dcf0c286c013e3c884cc/rawlog.c#L554-L556, 14 years ago, which I would not less pass in a code review today.

This ends up being a call to execl() to a binary without a path, and a sh with interpolation inbetween. It should be a call to execve() with a clean env, and a path to a binary, sans sh.

If this is run as root in a suid binary, it would be not good.

@Zugschlus @0xabad1dea

Then that code part is only ugly, and not radioactive.

https://www.linkedin.com/feed/update/urn🇱🇮activity:7306703860188786688/

McGrath zu seinem Besuch in den USA auf Linkedin

My official visit to Washington DC has drawn to a close with another full day of meetings, interviews and discussions.

🔷I had productive bilateral meetings with senior executives from Amazon, Apple and Meta, discussing a wide range of issues including their strong presence in the EU, the importance of the single market, competitiveness, the digital trading environment, tech innovation, data privacy and consumer protection, including online safety of children.

♦️It was also great to engage in a round table format with a number of very large EU businesses operating in the U.S. on global trade, consumer protection, the current geopolitical environment and plans for the EU to progress its simplification and innovation agenda.

🔷 I had a good discussion with Beth Williams, Board Member of Privacy and Civil Liberties Oversight Board on the ongoing work and full commitment to implementing the EU-U.S. Data Privacy Framework. Looking forward to continuing our cooperation. This Framework is a vital part of the architecture that underpins transatlantic trade.

♦️I also had the opportunity to brief EU Ambassadors to the U.S. on my visit to Washington.

🔷 I wrapped up the day with media engagements - I spoke to Sean Whelan for RTE with the iconic White House backdrop, and had a great conversation with Caitriona Perry for the BBC News.

Sincere thanks also to Danny McCoy and the team at Ibec for the opportunity to attend and address their St. Patrick’s day dinner on Wednesday evening - a great chance to meet so many Irish businesses making serious waves in the US.

Thank you to the EU delegation to the U.S. led by Jovita Neliupšienė and all my own team and colleagues in DG JUST for having put in so much work to organise this mission.

My overall takeaway from the mission: Notwithstanding current challenges, the EU and U.S. are strong allies and the relationship is unquestionably mutually beneficial. Let’s keep up the dialogue and work together to find solutions where we may not see eye to eye. A very rewarding and rich two days.

https://www.pclob.gov/EventsPress
Ohne Link und Ergebnis:

On March 14, 2025, Board Member Beth A. Williams met with Michael McGrath, the EU Commissioner for Democracy, Justice, the Rule of Law and Consumer Protection to discuss the PCLOB’s role under Executive Order 14086 in ensuring safeguards for cross-border data flows under the Trans-Atlantic Data Privacy Framework.

PCLOB besteht im Moment nur aus Beth A. Williams:

https://www.pclob.gov/Board/Index

Max Schrems' Leute zeichnen ein Bild der aktuellen Rechtslage und wie sie entstand:

https://noyb.eu/en/us-cloud-soon-illegal-trump-punches-first-hole-eu-us-data-deal

Nach der effektiven Auflösung von PCLOB (Civil Liberties Oversight Board) durch Trump hat das europäische Parlament am 5. Februar die Kommission gefragt, was denn nun mit DPF (Data Protection Framework) ist.

https://www.euractiv.com/section/tech/news/parliament-wont-let-ai-liability-seps-go-without-a-fight/ (https://archive.is/Ssy2V)

E-000540/2025
https://www.europarl.europa.eu/doceo/document/E-10-2025-000540_EN.html

und einen Monat später

P-000941/2025
https://www.europarl.europa.eu/doceo/document/P-10-2025-000941_EN.html

DPF ist die Rechtsgrundlage für Datenverarbeitung von europäischen Firmen in US Clouds, nachdem alle vorherigen Rechtsgrundlagen durch die Entscheidungen Schrems I und Schrems II zerstört wurden.

https://www.euractiv.com/section/tech/news/deafening-commission-silence-with-no-credible-eu-us-data-oversight-left/ (https://archive.is/JHTBr)

Die schriftliche Antwort der Kommission ist bis zum 19. März, übermorgen, fällig.

Schrems told Euractiv that the Commission's silence could leave companies in the legal limbo of an invalidated DPF.

“My biggest worry... is that there is no fucking contingency plan,” he said.