Leserreporter: Wer schöne Verschwörungslinks für mich hat: ab an felix-bloginput (at) fefe.de!
[zurück][ältere Posting][neuere Posting] Donnerstag, 11 Oktober 2018 | Blog: 8 | No: 41792
Boah, Heise!! Mit eurem Rumgehype habt ihr "kritisch" schon verbrannt für Sicherheitslücken, und unter äußerst kritisch geht es jetzt nicht mehr?!
Und dann klickt man auf die SAP-Seite dazu und sieht: "Information disclosure". Wait, what? Was jetzt, kritisch oder Information disclosure?!
Kritisch heißt, dass man mit der Lücke einen Wurm bauen kann. D.h. kein Login nötig, und führt zu Code Execution. Das ist die Definition von kritisch bei Sicherheitslücken. Information disclosure ist sicher nicht gut, aber es ist nicht Wurm-Territorium.
Aber was ist das? CVSS-Score 9.8? Das kriegt man nicht mit Information Disclosure. Klickt man da drauf, findet man: Attack Vector Network, No Privileges Required, und: High bei Confidentiality, Integrity und Availability. Vielleicht hat da jemand das Tool falsch bedient, aber Information Disclosure ist Confidentiality. Integrity heißt, dass dass der Angreifer im System herummanipulieren kann. Availability heißt Denial of Service. Das passt also nicht.
Ich hab jetzt keine Information, was das genau für eine Lücke ist, aber irgendwas passt da gerade nicht. Wenn das CVSS stimmt, dann ist Information Disclosure eine sehr ungünstige Zusammenfassung. Wenn Information Disclosure stimmt, dann ist das CVSS falsch und das sollte nicht kritisch sein. Das wäre immer noch High, aber nicht Critical.
Aber unabhängig davon: Heise, hört mal bitte dringend mit diesem Markschreier-Scheiß auf. Kritisch ist schon die höchste Steigerung. Äußerst kritisch heißt nicht, dass die Lücke schlimmer ist, sondern dass die Berichterstattung unseriös ist.
[zurück]
[ältere Posting][neuere Posting]
[zurück][ältere Posting][neuere Posting] Donnerstag, 11 Oktober 2018 | Blog: 8 | No: 41792
Wait, what?
äußerst kritisch
Und dann klickt man auf die SAP-Seite dazu und sieht: "Information disclosure". Wait, what? Was jetzt, kritisch oder Information disclosure?!
Kritisch heißt, dass man mit der Lücke einen Wurm bauen kann. D.h. kein Login nötig, und führt zu Code Execution. Das ist die Definition von kritisch bei Sicherheitslücken. Information disclosure ist sicher nicht gut, aber es ist nicht Wurm-Territorium.
Aber was ist das? CVSS-Score 9.8? Das kriegt man nicht mit Information Disclosure. Klickt man da drauf, findet man: Attack Vector Network, No Privileges Required, und: High bei Confidentiality, Integrity und Availability. Vielleicht hat da jemand das Tool falsch bedient, aber Information Disclosure ist Confidentiality. Integrity heißt, dass dass der Angreifer im System herummanipulieren kann. Availability heißt Denial of Service. Das passt also nicht.
Ich hab jetzt keine Information, was das genau für eine Lücke ist, aber irgendwas passt da gerade nicht. Wenn das CVSS stimmt, dann ist Information Disclosure eine sehr ungünstige Zusammenfassung. Wenn Information Disclosure stimmt, dann ist das CVSS falsch und das sollte nicht kritisch sein. Das wäre immer noch High, aber nicht Critical.
Aber unabhängig davon: Heise, hört mal bitte dringend mit diesem Markschreier-Scheiß auf. Kritisch ist schon die höchste Steigerung. Äußerst kritisch heißt nicht, dass die Lücke schlimmer ist, sondern dass die Berichterstattung unseriös ist.
Twiter-Ticker
Fefes Latest Youtube Video Links
Der Betrieb der KraftZeitung kostet Geld. Da wir auch weiterhin unabhängig, überparteilich und ohne kommerzieller Werbung für Sie da sein wollen, sind wir auf Ihre Spende angewiesen. Vielen Dank.
