Op de website van Ubuntu blijkt tot nu toe in Ubuntu 16.04 ESM vandaag een patch voor Log4j is uitgerold.
Meer info hier: https://ubuntu.com/security/notices/USN-5192-2

Tja, dat krijg je met die digi-dwang van overheid, banken en bedrijfsleven. Alles moet en zal digitaal.
Zorg dan in ieder geval voor voldoende alternatieven. Bv kantoren en loketten.
En dan niet alleen in de randstad, maar ook in de kleinere steden én dorpen.

Met alle respect naar dhr. Grapperhaus en waar hij voor staat:

1) We zijn het allemaal eens dat de digitale weerbaarheid omhoog moet. Of niet dan?

2) Begin dan eerst aan een inhaalslag aan security maatregelen op bestaande systemen zonder de privacy van burgers te benadelen. Inclusief al je toeleveranciers. Gewoon keihard netto resultaten.

3) Want samen verwerkings banden zijn goed voor een constructieve basis maar wij hebben op korte termijn behoefte aan resultaten. Het een gaat niet zonder het ander.

Maar we moeten er op korte termijn praktisch inzitten. En deze projecten kun je simultaan laten draaien.

Want dat GGD verhaal is b.v. natuurlijk achterstallig huiswerk ondanks de nood "breekt privacy van onze burgers" maatregelen.

4) Laten we dit even heel zuiver houden en de gevolgen m.b.t. privacy minimaliseren voordat we een politiestaat worden. Want net zoals elke andere overheid en particuliere bedrijven wereldwijd hebben we een inhaalslag op het gebied van security te verrichten.

5) Hierbij is het ook zaak dat we huidige nieuwe projecten op het gebied van digitalisering zoveel mogelijk op een laag pitje laten draaien omdat de aanvals vectoren alleen maar groter worden.

Je kan niet van A naar B in een auto rijden die al mankementen heeft en tegelijk overbeladen wordt.

Daardoor spelen we bepaalde partijen in de kaart die als doel hebben chaos te veroorzaken en onze positie op de wereldmarkt te verzwakken. En laten we wel zijn daadkrachtig handelen is niet altijd een hele sterke eigenschap van de overheid. Logisch door een enorme lappendeken waar elk land mee te maken heeft.

6) Het is gewoon niet meer te doen. Want de laatste tijd belanden we van het ene schandaal in de andere en is iedereen overbelast straks.

Ik ga toch geen uitbouw aan mijn huis bouwen zolang er nog zaken op te lossen zijn met mijn fundering. Daar dient minimaal aan gewerkt te worden aan die fundering issues met een duidelijke einddatum. En zaken tot mijn uitbouw geven we even een lagere prioriteit.

Doen we dit niet dan wordt de politiek straks elk uur bestookt met vragen gerelateerd aan ICT.

Het gaat om daadkracht en gewoon doen. Want ook dat gedoe met de gemeente Den Haag had niet hoeven gebeuren Een DDOS aanval b.v. is niet te voorkomen maar de gevolgen zijn vrij snel in te perken.. Kwestie van Geld punt!

7) Zorg voor een snelle rode (logische knop) met mandaat zodat heel snel tijdelijk iets afgesloten kan worden Zo loste ik issues op met grote aanvallen op grote infrastructuren. Zo dat het niet blijft hangen op een manager die niet bereikbaar is. Verminder single point of failures.

Beter een paar uur niet werken dan 2 weken lang je afvragen of je überhaupt nog kan werken straks.

PS: ik hoop dat jullie dit plaatsen want naar mijn weten zeg ik in deze posting niets ondermijnends of aanmatigen en ben ik zeer begaan met de Nederlandse staat.

Goed punt, helemaal mee eens. Je bedoelt in feite, zorg voor een backup plan. En dat is een kenmerk van elk project die veel changes met zich mee brengt. Backup/roll back plan.


En aan de admins bedankt voor het plaatsen van mijn verhaal!

Niet alleen backup/rollback. Dat is te kortzichtig.
Het is eerder een alternatieve vorm van redundantie.
Valt digitaal (of analoog) uit, dan kan de ander optie daar veel van overnemen.

Als in: Niet al je eieren in hetzelfde mandje wille leggen. Verspreid het risico.

Is het wel verstandig dat de 2e kamer laat informeren door iemand die alle encryptie wil afschaffen

Een minister die na 7+ dagen van het ontstaan van een globale dreiging pas een verklaring afgeeft neem ik niet serieus als leermeester nog messenger als het aankomt op veiligheid van al was het mijn schoonmoeder haar farmville account.

En deze zin serieus?
Zucht....

Waarom hebben we wel een pers conferentie omtrent een fysiek virus dat de maatschapij ontwricht maar bij een landelijke digitale crisis met nog grotere economische gevolgen mag je hopen dat er uberhaubt iets gezegd wordt. Dit heeft zonder te bagataliseren de potentie gevaarlijker te worden voor de levens van mensen dan onze vriend SARS-CoV-2 nu lukt met mutaties meegerekend.

Zometeen gaan wij niet in lockdown maar de gezondheidzorg,
https://healthitsecurity.com/news/apache-log4j-vulnerabilities-could-result-in-healthcare-cyberattacks

Zit er nog iemand in die kamer dan die zich beseft waarover die geïnformeerd wordt dan? Want dat is één circus van dieren tot bejaarden tot grondwetbraderie tot voor en tegen de buitenlanders en trek eens lekker aan mijn fluitje want we hebben een boek gelezen partijen en navenant gekozen parlementarietrekkers.

Netjes gedaan voor een oud product wat Extended Security Maintenance heeft, terwijl log4j niet eens deel uitmaakt van de te onderhouden repository maar van universe.
https://ubuntu.com/security/cve?package=apache-log4j2

Het is retorisch gedram van Grapperhaus en consorten omdat ze meer geld naar politie en defensie willen terwijl ze omkomen in het achtergestelde onderhoud. Dat krijg je als je alleen aan symptoonbestrijding doet.

Het is wel bijzonder dat iedereen over de ontwikkelaar valt die nu dag en nacht bezig is geweest om het probleem gratis te verhelpen terwijl hij dit niet eens verplicht was volgens de Apache license (doe wat je er mee wilt doen maar dont sue me) en niemand die klaagde over de 8 kritieke microsoft (Remote Code Execution) issues https://msrc.microsoft.com/update-guide/en-us https://www.zdnet.com/article/microsoft-december-2021-patch-tuesday-zero-day-exploited-to-spread-emotet-malware/
Blijkbaar heeft die gast toch iets moois gemaakt als zelfs Microsoft het in haar product heeft verstopt.
Wat verder naar voren komt is dat het best snel onder hoge druk was gefixt (daar hoor je niemand over) maar dat vele grote bedrijven hun calimiteiten procedures niet op orde hebben en niet eens weten wat voor software ze in huis hebben gehaald.
Ik zou zeggen ga die bedrijven bashen ipv deze ontwikkelaar of de Apache licentie.
Als het door Microsoft zelf was ontwikkelt hadden we het misschien niet eens gehoord vanwege het gesloten karakter.

Inderdaad, daar verbeter je me met recht. Bedankt voor de bijdrage.

Neen Niemand. Je wordt node gemist. Ik snap ook helemaal niet dat niemand jou heeft aangewezen als de redder des vaderlands in deze boze tijd.

Tja, het probleem van log4j ontstaat nu eenmaal als een bepaalde techniek te dominant wordt. Was eerst vooral Microsoft een potentieel doelwit, tegenwoordig zijn dat de diverse Linux servers geworden die allemaal Apache gebruiken in plaats van een andere technologie. En als het marktaandeel van Apache kleiner wordt en nginx groeit zal straks ook een kwetsbaarheid in nginx ontdekt worden die erg vervelend kan zijn.
Hoe dan ook, jarenlang was er een strijd tussen aanhangers van Microsoft en Linux over wat er nou veiliger was: Windows met IIS of een LAMP omgeving. En nu blijkt dat LAMP dus een hele ernstige kwetsbaarheid heeft bij iedere omgeving waar log4j wordt gebruikt doordat een aanvaller op die systemen willekeurige code kan laten uitvoeren door simpelweg een string naar het log te proberen te krijgen. Vrijwel vergelijkbaar met SQL injections van vroeger en dit zal nog een hele lange tijd duren voordat iedereen hiervan heeft geleerd.
Hoe dan ook, het probleem is dat teveel mensen gewoon op open source vertrouwen omdat ze er van uitgaan dat deze code door heel veel ontwikkelaars wordt nagekeken. Maar log4j is een relatief klein project dat extreem populair blijkt te zijn waar eigenlijk niemand goed naar heeft gekeken. Iedereen vertrouwt erop dat anderen dat gedaan hebben...
Ofwel, ook open source kun je niet vertrouwen. Gebruik je eigen verstand!

Wat mij nu opvalt is dat het uit de hoek van de ‚die-hard’ open source voorstanders hier ineens heel stil is geworden.

Laat ik vooraf eerst even héél helder stellen: Zelf ben ik end point open source gebruiker:
Linux Mint 20.1 op een huis tuin en keuken computer met Firefox (zojuist de update naar 95.0.1 binnengehaald) en daarnaast: Libre Office, Audacity, Pinta, etc.

Ook draait bij mij nog volledig offline een restantje Windows (7) uit mijn - laat ik het zo noemen: Microsoft tijdperk. Verder voor de hobby nog diverse Apple legacy systemen, die ik nog langer geleden - nu heb ik het over de vorige eeuw - ook actief gebruikte als laatste met Netscape Communicator 4.8. OSX was mijn ding niet; heb ik nooit gebruikt.

Gedurende al die jaren heb ik het altijd een behoorlijk kinderachtig gedoe gevonden: Het koortsachtige gebabbel van wat men later ging noemen: Fanboys.
Of het nu Apple, Microsoft en later Linux was, hun visies heb ik nooit gedeeld; het heeft mij nooit geboeid. Laat staan dat ik mij daar ooit in heb laten meeslepen.
Reden?
Je roept over jezelf af dat er altijd de mogelijkheid bestaat dat je luchtkasteel opgebouwd uit de door jou verafgode bits & bytes een kaakslag krijgt.

En daar sta je dan: Ineens in je hemd met je denigrerende opmerkingen waarvan ik hier het meest opvallende vond: het almaar herhalen van ‚spaghetti software’ en hoe goed die andere systemen daarmee vergeleken zijn.
Zwijgen is dan wat rest.

Alle software is in wezen kwetsbaar. Het sluimert latent in alles dat is opgebouwd uit bits & bytes. Dat is inderdaad: