1. Foren
  2. Kommentare
  3. Security-Forum
  4. Alle Kommentare zum Artikel
  5. › Log4shell: Alibaba hätte Log4J…

Wait wait wait

Neue Foren im Freiraum! Raumfahrt und freie Software haben jetzt einen Platz, die Games tummeln sich jetzt alle in einem Forum.
  1. Thema

Neues Thema


  1. Wait wait wait

    Autor: bredy89 23.12.21 - 11:46

    Ist das Problem wirklich dass man die Regierung nicht als ERSTES informiert hat, oder weil man sie GAR NICHT informiert hat?
    Die Überschrift suggeriert halt wieder dass die chinesische Regierung wieder die Kontrolle über alles haben will, aber aus dem Text lese ich nur heraus, dass man die Regierung nicht innerhalb der vorgegebenen 2 Tage informiert hat.
    Auch eine Pflicht die Regierung zuerst zu informieren sehe ich nicht.

  2. Re: Wait wait wait

    Autor: sre 23.12.21 - 12:03

    bredy89 schrieb:
    --------------------------------------------------------------------------------
    > Ist das Problem wirklich dass man die Regierung nicht als ERSTES informiert
    > hat, oder weil man sie GAR NICHT informiert hat?
    > Die Überschrift suggeriert halt wieder dass die chinesische Regierung
    > wieder die Kontrolle über alles haben will, aber aus dem Text lese ich nur
    > heraus, dass man die Regierung nicht innerhalb der vorgegebenen 2 Tage
    > informiert hat.
    > Auch eine Pflicht die Regierung zuerst zu informieren sehe ich nicht.

    Egentlich steht es sehr deutlich im Text:

    "Laut der Zeitung South China Morning Post verpflichtet ein neues Gesetz die Unternehmen, Sicherheitslücken zuerst an die chinesische Regierung zu melden. Dies müsse zudem innerhalb von zwei Tagen geschehen, ergänzt ZDnet."

  3. Re: Wait wait wait

    Autor: bredy89 23.12.21 - 12:07

    sre schrieb:
    --------------------------------------------------------------------------------
    > bredy89 schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Ist das Problem wirklich dass man die Regierung nicht als ERSTES
    > informiert
    > > hat, oder weil man sie GAR NICHT informiert hat?
    > > Die Überschrift suggeriert halt wieder dass die chinesische Regierung
    > > wieder die Kontrolle über alles haben will, aber aus dem Text lese ich
    > nur
    > > heraus, dass man die Regierung nicht innerhalb der vorgegebenen 2 Tage
    > > informiert hat.
    > > Auch eine Pflicht die Regierung zuerst zu informieren sehe ich nicht.
    >
    > Egentlich steht es sehr deutlich im Text:
    >
    > "Laut der Zeitung South China Morning Post verpflichtet ein neues Gesetz
    > die Unternehmen, Sicherheitslücken zuerst an die chinesische Regierung zu
    > melden. Dies müsse zudem innerhalb von zwei Tagen geschehen, ergänzt
    > ZDnet."

    Ja, aber in der dafür angegebenen Quelle finde zumindest ich davon nichts.
    Sollte ich falsch liegen kann man mich gerne korrigieren.

  4. Re: Wait wait wait

    Autor: MarcusK 23.12.21 - 12:17

    sre schrieb:
    --------------------------------------------------------------------------------
    > bredy89 schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Ist das Problem wirklich dass man die Regierung nicht als ERSTES
    > informiert
    > > hat, oder weil man sie GAR NICHT informiert hat?
    > > Die Überschrift suggeriert halt wieder dass die chinesische Regierung
    > > wieder die Kontrolle über alles haben will, aber aus dem Text lese ich
    > nur
    > > heraus, dass man die Regierung nicht innerhalb der vorgegebenen 2 Tage
    > > informiert hat.
    > > Auch eine Pflicht die Regierung zuerst zu informieren sehe ich nicht.
    >
    > Egentlich steht es sehr deutlich im Text:
    >
    > "Laut der Zeitung South China Morning Post verpflichtet ein neues Gesetz
    > die Unternehmen, Sicherheitslücken zuerst an die chinesische Regierung zu
    > melden. Dies müsse zudem innerhalb von zwei Tagen geschehen, ergänzt
    > ZDnet."

    aber viel wichtiger ist doch, ob sie zusätzlich an den Hersteller gemeldet werden darf ( also 5min später )

  5. Re: Wait wait wait

    Autor: franzropen 23.12.21 - 12:22

    Das Gesetz hat hier mal jemand durch den Google-Übersetzer gejagt.
    https://news.ycombinator.com/item?id=29653352

    > 发现或者获知所提供网络产品存在安全漏洞后,应当立即采取措施并组织对安全漏洞进行验证,评估安全漏洞的危害程度和影响范围;对属于其上游产品或者组件存在的安全漏洞,应当立即通知相关产品提供者。

    > After discovering or learning about the security vulnerabilities in the provided network products, they should immediately take measures and organize verification of the security vulnerabilities to assess the degree of harm and impact of the security vulnerabilities; for the security vulnerabilities in their upstream products or components, they should immediately notify the relevant Product provider.

    > 应当在2日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息。报送内容应当包括存在网络产品安全漏洞的产品名称、型号、版本以及漏洞的技术特点、危害和影响范围等。

    The relevant vulnerability information should be reported to the network security threat and vulnerability information sharing platform of the Ministry of Industry and Information Technology within 2 days. The content of the submission should include the product name, model, version, and the technical characteristics, harm, and scope of the vulnerability that have security loopholes in network products.

    The law suggest bugs should be reported to upstream "immediately", and to the government "within 2 days".

    Alibaba reported the bug to Apache first, and to the government 15 days later. So it is disciplined for not reporting to the government within 2 days.

  6. Re: Wait wait wait

    Autor: Potrimpo 23.12.21 - 12:41

    Aber es steht nicht "ausschließlich"! Parallel wäre in Ordnung gewesen, nicht 14 Tage später

  7. Re: Wait wait wait

    Autor: .v- 23.12.21 - 13:03

    franzropen schrieb:
    --------------------------------------------------------------------------------
    > Das Gesetz hat hier mal jemand durch den Google-Übersetzer gejagt.
    > news.ycombinator.com
    >
    > >
    > 发现或者获知所提供&#3
    > 2593;络产品存在安全漏&#2793
    > 4;后,应当立即采取措&
    > #26045;并组织对安全漏洞&#36
    > 827;行验证,评估安全&#28431
    > ;洞的危害程度和影响&#
    > 33539;围;对属于其上游&#201
    > 35;品或者组件存在的安
    > 全漏洞,应当立即通&#3
    > 0693;相关产品提供者。
    >
    > > After discovering or learning about the security vulnerabilities in the
    > provided network products, they should immediately take measures and
    > organize verification of the security vulnerabilities to assess the degree
    > of harm and impact of the security vulnerabilities; for the security
    > vulnerabilities in their upstream products or components, they should
    > immediately notify the relevant Product provider.
    >
    > >
    > 应当在2日内向工业和&#
    > 20449;息化部网络安全威&#329
    > 61;和漏洞信息共享平台
    > 报送相关漏洞信息。&#2
    > 5253;送内容应当包括存&#2231
    > 2;网络产品安全漏洞的&
    > #20135;品名称、型号、版&#26
    > 412;以及漏洞的技术特&#28857
    > ;、危害和影响范围等&#
    > 12290;
    >
    > The relevant vulnerability information should be reported to the network
    > security threat and vulnerability information sharing platform of the
    > Ministry of Industry and Information Technology within 2 days. The content
    > of the submission should include the product name, model, version, and the
    > technical characteristics, harm, and scope of the vulnerability that have
    > security loopholes in network products.
    >
    > The law suggest bugs should be reported to upstream "immediately", and to
    > the government "within 2 days".
    >
    > Alibaba reported the bug to Apache first, and to the government 15 days
    > later. So it is disciplined for not reporting to the government within 2
    > days.


    Wenn die Übersetzung auch nur halbwegs stimmt, kann ich China-Sympathisanten durchaus verstehen, wenn sie unseren Medien einseitige und bewusst Stimmungsmachende Ansichten unterstellen. Kann natürlich sein, dass da was in der Übersetzung schief gelaufen ist, aber dann sollte Golem vorsichtiger formulieren oder selbst recherchieren, bevor derart irreführende Darstellungen suggeriert werden.

  8. Re: Wait wait wait

    Autor: lunarix 23.12.21 - 13:38

    [Korrektur] Leider stellen viele Medien die Sachlage so gut wie nie richtig, selbst wenn die Lüge entlarvt ist. So verbreiten sich dann unwahre Behauptungen und wenn man etwas dagegen setzt, wird man als China-Fan oder Putin-Freund verunglimpft.



    2 mal bearbeitet, zuletzt am 23.12.21 13:41 durch lunarix.

  9. Re: Wait wait wait

    Autor: mtr (golem.de) 23.12.21 - 13:39

    Hallo bredy89,

    Danke für den Hinweis. Wir haben den Artikel korrigiert.

    Ursache war ein Übersetzungsfehler der folgenden Zeile aus der South China Morning Post:

    > Notifying vendors first about security flaws is a cybersecurity industry norm, but a new law encourages Chinese companies to first notify the government

    Wir bitten den Fehler zu entschuldigen.

    Viele Grüße
    Moritz

  10. Re: Wait wait wait

    Autor: Vögelchen 25.12.21 - 14:31

    Potrimpo schrieb:
    --------------------------------------------------------------------------------
    > Aber es steht nicht "ausschließlich"! Parallel wäre in Ordnung gewesen,
    > nicht 14 Tage später

    Es gibt halt gute Gründe, die Lücke zuerst dem Hersteller zu melden und nicht priorisiert zu aller erst den StaatsSicherheitsDiensten, wo es dann Spione aus aller Welt erfahren, bevor die Lücke geschlossen wird. Denn das Einzige was hilft, ist Lücke schließen und Kunden informieren, dass sie tätig werden müssen, nicht die NSA zu versorgen. Das hilft nicht, im Gegenteil.
    Und wenn es wirklich um Sicherheit der Bürger und der Unternehmen geht, dann darf es eben genau so nicht sein, wie China es vorschreibt.



    1 mal bearbeitet, zuletzt am 25.12.21 14:35 durch Vögelchen.

  1. Thema

Neues Thema


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. IT Servicetechniker (w/m/d) Onsite Support
    Bechtle Onsite Services GmbH, Hamburg
  2. Softwareentwickler Android TK App (m/w/d)
    Techniker Krankenkasse, Hamburg
  3. Spezialist Data Architect BI (m/w/d)
    AOK NordWest, Dortmund
  4. Data Analytics Manager (f/m/d) Process Development Drug Product
    CureVac AG, Tübingen bei Stuttgart

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. Einmalige Zuzahlung: 299 Euro
  2. (u. a. Lenovo IdeaPad 14 Zoll, i7, 16GB, 512GB SSD, Windows 11 Home für 899€)
  3. (u. a. Chieftec Stallion II Tower-Gehäuse für 99,90€, AKRacing Gaming-Stuhl Core EX SE für...
  4. 398€ (Bestpreis)


Haben wir etwas übersehen?

E-Mail an news@golem.de


  1. FTTH: Deutsche Telekom kündigt weitere Glasfaserstadt an
    FTTH
    Deutsche Telekom kündigt weitere Glasfaserstadt an

    Mit Nürnberg kündigt die Telekom eine weitere Glasfaserstadt an. Der Ausbau im Großraum der Stadt soll eine halbe Milliarde Euro kosten.

  2. Bloomberg: Die Revolution in der E-Mobilität auf zwei Rädern
    Bloomberg
    Die Revolution in der E-Mobilität auf zwei Rädern

    Eine Studie von Bloomberg New Energy Finance hat untersucht, wo mit die Elektromobilität größten Einsparungen von Erdöl gemacht werden. Das Ergebnis überrascht.

  3. Entlastungspaket: Länder stimmen für 9-Euro-Ticket
    Entlastungspaket
    Länder stimmen für 9-Euro-Ticket

    Der Bundesrat hat das Entlastungspaket bewilligt. ÖPNV-Verkehrsverbünde starten in den nächsten Tagen den Verkauf des 9-Euro-Tickets.


  1. 14:09

  2. 14:00

  3. 12:45

  4. 12:32

  5. 12:15

  6. 12:04

  7. 11:41

  8. 11:15