Log4Shell es uno de los que aparecerán en las filtraciones de datos durante la próxima década

Este último mes del año 2023 marco el segundo aniversario del descubrimiento de la vulnerabilidad Log4j/Log4Shell, la cual es una vulnerabilidad que al día de hoy continua afectado a muchos proyectos y supone un riesgo de seguridad.

Y es que Log4j sigue siendo un blanco principal para los ciberataques, según el informe anual «Year in Review» de Cloudflare y también los resultados de un estudio sobre la relevancia de las vulnerabilidades críticas en la biblioteca Java Log4j que dieron a conocer investigadores de seguridad de Veracode.

Los investigadores de Veracode mencionan que después de estudiar 38.278 aplicaciones utilizadas por 3.866 organizaciones, descubrieron que dos de cada cinco aplicaciones aún utilizan versiones vulnerables de la biblioteca Apache Log4j, dos años después de que se hiciera pública una vulnerabilidad crítica.

El informe destaca que cerca de un tercio de las aplicaciones ejecutan Log4j2 1.2.x (que alcanzó el final de su vida útil en agosto de 2015 y ya no recibe actualizaciones de parches) lo que representa un 38%. La razón principal para continuar usando código heredado es la integración de bibliotecas antiguas en proyectos o la laboriosidad de migrar de ramas no compatibles a nuevas ramas que son compatibles con versiones anteriores. Además, un 2.8% de las aplicaciones aún utilizan versiones vulnerables a la conocida vulnerabilidad Log4Shell.

Además de ello, se menciona que existen tres categorías principales de aplicaciones que aún utilizan versiones vulnerables de Log4j, según el informe de Veracode:

1. Vulnerabilidad Log4Shell (CVE-2021-44228):
   El 2.8% de las aplicaciones persisten a seguir utilizando versiones de Log4j desde la 2.0-beta9 hasta la 2.15.0, las cuales contienen la vulnerabilidad conocida.
2. Vulnerabilidad de Ejecución Remota de Código (RCE) (CVE-2021-44832):
   Un 3.8% de las aplicaciones emplean la versión Log4j2 2.17.0, que aborda la vulnerabilidad Log4Shell, pero no resuelve la vulnerabilidad de ejecución remota de código (RCE) identificada como CVE-2021-44832.
3. Rama Log4j2 1.2.x (Soporte Finalizado en 2015):
   Un 32% de las aplicaciones aún utilizan la rama Log4j2 1.2.x, cuyo soporte finalizó en 2015. Esta rama se ha visto afectada por vulnerabilidades críticas, como CVE-2022-23307, CVE-2022-23305 y CVE-2022-23302, identificadas en 2022, siete años después de finalizado el mantenimiento.

Estos datos resaltan la diversidad de situaciones en las que las aplicaciones continúan utilizando versiones desactualizadas y vulnerables de Log4j, lo que genera una gran preocupación por parte de los investigadores.

Y es que un dato preocupante es que el 3.8% de las aplicaciones utilizan Log4j2 2.17.0, que fue parcheado contra Log4Shell, pero contiene CVE-2021-44832, otra vulnerabilidad de ejecución remota de código de alta gravedad.

El informe subraya que, a pesar de los esfuerzos realizados en los últimos años para mejorar las prácticas de seguridad en el desarrollo de software y el uso de código abierto, queda trabajo por hacer.

Chris Eng, director de investigación de Veracode, destaca que:

Los desarrolladores tienen una responsabilidad crucial y que hay margen de mejora en cuanto a la seguridad del software de código abierto.

Aunque muchos desarrolladores inicialmente respondieron adecuadamente a la crisis de Log4j instalando la versión 2.17.0, el informe sugiere que algunos volvieron a patrones anteriores al no aplicar parches más allá del lanzamiento de 2.17.1.

La Apache Software Foundation (ASF) ha estado activamente notificando a los proyectos downstream sobre la urgencia de actualizar, pero los hallazgos del informe indican que aún hay aplicaciones que no han implementado las correcciones necesarias.

El informe de Veracode se basó en datos de escaneos de software de más de 38,000 aplicaciones durante un período de 90 días, entre el 15 de agosto y el 15 de noviembre. Las aplicaciones ejecutaban versiones de Log4j desde la 1.1 hasta la 3.0.0 alfa 1 en 3,866 organizaciones diferentes.

Nuestra investigación también encontró que una vez que los desarrolladores son alertados sobre una biblioteca vulnerable a través de un análisis, las solucionan relativamente rápido: el 50 por ciento de las vulnerabilidades se solucionan en 89 días en general, en 65 días para las vulnerabilidades de gravedad alta y en 107 días para las vulnerabilidades de gravedad media.

Estos resultados concuerdan con las advertencias previas, como el informe de la Junta Federal de Revisión de Seguridad Cibernética de 2022, que indicó que la crisis de Log4j tomaría años en resolverse por completo.

Finalmente si estás interesado en poder conocer más al respecto, te invito a que visites el artículo original del blog de veracode. El enlace es este.

from Linux Adictos https://ift.tt/Bvswj95
via IFTTT

No hubo artículo en diciembre, y no han explicado los motivos. Hace unos meses consultaron a la comunidad si preferían artículos mensuales o sólo cuando hubiera algo interesante que contar, y es lo que han podido hacer esta vez. Danielle Foré, líder en solitario de elementary OS tras la salida de Cassidy James Blaede, ha publicado hoy una entrada en su blog en el que nos hablan de unas pocas novedades de OS 7 y unas pocas de OS 8.

elementary OS 7 incluye ahora la última versión de GNOME Web (Epiphany), con su nueva vista general de pestañas. Además, han modificado algunos iconos para cosas como el icono de descargas animado en la barra superior y los de acceso al hardware y han corregido un problema que podría causar que la ventana de favoritos se viera demasiado fina. En un principio, el navegador empezó siendo algo simple con pocas funciones, pero esto de las pestañas y otras novedades del pasado como el soporte para extensiones le hacen ser una alternativa a tener en cuenta.

Otras novedades de elementary OS 7 y OS 8

Durante los últimos 60 días ha llegado una nueva versión del gestor de ventanas de elementary, o mejor dicho de Pantheon que es su escritorio, que corrige 10 de los problemas reportados, entre los que se incluyen varios relacionados con los espacios de trabajos y el uso de varios monitores. También se han lanzado nuevas versiones de los ajustes de redes y el indicador de redes para recuperar el soporte para las VPNs de Wireguard o el cifrado sin cables de Opportunistic.

Todas estas novedades están ya disponibles, y se pueden añadir a las instalaciones existentes abriendo la aplicación de actualizaciones e instalando todos los paquetes que haya esperando parar formar parte del sistema operativo.

Ya mirando al futuro, hay varias novedades que llegarán junto a elementary OS 8. Como ya adelantaron en noviembre, harán todo lo posible por que GTK 4 se quede con la mayoría de la interfaz, y hay varios apartados que ya usan esas librerías. Por ejemplo, el diálogo de autenticación y los ajustes del sistema. De todos los paneles que estaban en espera sólo queda uno por subir.

Mejoras en el dock

El dock es esa parte que a muchos nos gusta y desde donde lanzamos nuestras aplicaciones favoritas. Durante noviembre y diciembre se ha subido el trabajo para mejorar mucho el arrastrar y soltar para que soporte tanto reordenar apps dentro del dock como arrastrarlas desde el menú de aplicaciones. Por otra parte, ahora ya soporta globos y barras de progreso, acciones rápidas en el menú contextual y es posible añadir y eliminar apps del dock desde el menú contextual del menú de aplicaciones. Son novedades que ya se pueden esperar en OS 7, pero el nuevo dock está mejorando de una manera en la que funciona con Wayland y está construido completamente con GTK4.

Entre el resto de novedades, Foré dice:

«Aunque estamos llevando a cabo grandes proyectos para adoptar la última tecnología, tampoco estamos descuidando las correcciones de errores y las peticiones de funciones. Las notificaciones aparecen ahora a la izquierda para los idiomas RTL, y las confirmaciones de cambio de sonido ya no aparecerán sobre el indicador de sonido si está abierto. También hemos añadido compatibilidad con los gestos de deslizamiento horizontal para cambiar de ventana y una opción para desactivar los hotcorners en los espacios de trabajo con aplicaciones a pantalla completa. Todavía se están redactando algunos cambios de mayor envergadura, como la compatibilidad con el portal de capturas de pantalla y algunos cambios de diseño en la vista multitarea que aportan más color. Además, los estilos de paneles opacos han recibido algo de atención y ahora tienen una sombra suave.»

elementary OS 8 y todas sus novedades están disponibles en el acceso previo del proyecto, al que se puede acceder por una cuota de 10$/mes. La nueva versión llegará durante este año, pero no tienen fecha programada.

from Linux Adictos https://ift.tt/vmRTD4l
via IFTTT