articles don’t mention mitigation methods.

what to disable in thunderbird to not be vulnerable to “obfuscated JavaScript file that is sent to the victim through emails in archive files.” and prevent that “The JavaScript file drops a self-copy at “C:\Users\<Username>” location with random names like “needlereportcreepy.bat”. The bat file is then executed”?

servers rarely see updates. Maybe it happens in larger firms, but not in smaller shops.

*ouch*

adding PPAs or RPM repos, or installing things from source, I’d say that number is a lot higher than 0.

Nothing wrong with that. Unlike docker that’s cryptographically protected toolchain/buildchain/depchain. Thus, a PPA owner is much less likely to get compromised.

Installing things from source in a secure environment is about as safe as you can get, when obtaining the source securely.

Docker contains that nonsense in a way that’s easy to update.

Really? Ist there already a builtin way to update all installed docker containers?

What’s uneasy about apt full-upgrade?

Package managers don’t provide a sandbox.

I didn’t say that.

average user who doesn’t run updates consistently, may add sketchy dependencies, and doesn’t audit things would be better off with Docker.

That’s false.

but they’re less likely to cause widespread issues since each is in its own sandbox.

Also false. Sandbox evasion is very easy and the next local PE kernel vulnerability only weeks away. Also VM evasion is a thing.

Basically one compromised container giving local execution is enough to pwn your complete host.

in the same way that installing a malware-laden executable isn’t an OS problem

except no one is doing that. Every major distro hast mechanisms for software supply chain security and reproducible builds.

Do your due diligence, especially if you’re not a developer and thus looking at the Dockerfiles is impractical.

You’re on to something here. If you automate that process, you end up with something we call a package manager.

it’s likely blog posts and users that are at fault.

Exactly. And sincer reviewing Dockerfiles is impractical, there’s no way docker prevents you from shooting your own foot. Distros learned that long ago: Insecure default configs or injected dependencies are a thing of the past there. With docker, those get reintroduced.

What you are saying is not new but you don’t seem to grasp the difference in risk when you run someone else’s configured environment on your system vs. manually setting them up yourself. You save a lot of time by using docker images but it comes with a price.

There’s no docker vulnerability

No need to. Like sudo doesn’t need a vulnerability when you let contributors of some repository use it on your box.

Things like snyk exist for a reason but it’s not mitigation, just monitoring.

You should stop telling people that using docker is no security problem because that’s wrong, as it adds attack surface to even the most secure projects. Sure, it saves time but things like OPs news will keep popping up in the future like it did in the past. It can’t be fixed other than just not using it in production. At least build your own containers.

Don’t forget various past issues:

• https://snyk.io/blog/top-ten-most-popular-docker-images-each-contain-at-least-30-vulnerabilities/
• https://osric.com/chris/accidental-developer/2018/12/using-docker-to-get-root-access/
• https://www.bleepingcomputer.com/news/security/docker-hub-database-hack-exposes-sensitive-data-of-190k-users/
• https://blog.alexellis.io/docker-is-deleting-open-source-images/

This entirely misses the point of Docker.

It’s just pointing out the risk of letting someone you don’t know with no legal obligations setup your complete environment.

How likely

Probably as likely as someone cracking your really secure ssh password. Still, any sane expert will recommend disabling password auth.

I only pull containers based on some official project.

How do you know they weren’t compromised?

but I don’t see anything here about Docker itself being a problem

The problem is that rootless docker is a pain and no one does it. Privileged software sideloading other software is a huge risk.

That risk now became an incident. Even if you’re not affected, the risk still remains.

always_has_been.jpg

That was also the time where some classic tunes were created…

air gapping doesn’t really help when basically any interface is an attack vector.

evil maid attacks still work.

wenn es so einfach wäre…

great catch! Thanks for posting this.

ignorieren & cool bleiben…

Horst Köhler

Kurz vor seinem Rücktritt genau aus dem Grund.

Details, details…

Niemand bestreitet, daß wirtschaftliche Interessen bei Bundeswehreinsätzen eine Rolle spielen. Das widerspricht auch nicht meiner These: Rohstoffhandel und Wirtschaft generell braucht Planbarkeit und Stabilität. Das kommt letztendlich auch den Menschen vor Ort zu Gute (wenn am Ende demokratische Kräfte obsiegen und nicht irgendein Diktator, der Gewinne einstreicht).

Nur weil solche Einsätze auch scheitern können, heißt das nicht pauschal, daß sie nicht auch im Interesse der Menschen vor Ort sind.

Vielleicht werden wir in Europa das ja tatsächlich in den nächsten Jahren selbst erleben: Deutschland würde jedenfalls sicher nicht ausschließlich von deutschen Soldaten verteidigt werden und wir wären dankbar für jeden US-Soldaten, egal was die USA darüber hinaus für Interessen daran hat, dass die Region stabil bleibt und nicht im Chaos versinkt.

dann habe ich ganz schlechte Neuigkeiten für dich

Nur raus mit der Sprache. Am liebsten mit Quellenangaben.

Bei so komplexen geopolitischen Themen kann man immer dazu lernen.

Ich befürworte ja das alliierte Modell, bei dem deutsche Soldaten kapitulieren und eingesperrt werden.

wtf? Und dann rumheulen wenn niemand da ist um Sandsäcke zu schleppen oder provisorische Brücken zu bauen wenn mal wieder der Bach durchs Tal rauscht?

Und wer, wann, wen in Afrika abschlachtet kann uns ja auch egal sein. Kooperation mit Partnern? Scheiss drauf, hauptsache mir gehts gut. /s

Das gilt nur für die konservative, heterosexuelle Norm-Bevölkerung mit Ariernachweis?

Vorerst… Immer nur vorerst.

Divide et impera. Jeder gegen jeden.

Propaganda wirkt sekundär immer auch bei Leuten, die sich für immun halten. Geopolitik in Aktion.

ok, auf die Schnelle finde ich da 91t allein für den Generator. Das spricht dann doch gegen einen einzelnen Hubschrauber.

Da müsste man sich noch was gutes einfallen lassen ;)

Teile moderner Windkraftanlagen sind um Einiges schwerer. Finde den Fehler.

Welches Teil, das man nicht teilen kann, ist schwerer als 20t?

mit mittelalterlichen Methoden transportieren.

Da wäre ich mir wirklich nicht sicher. Sicher wäre der Aufwand enorm. Zudem müsste es ja nicht mittelalterlich sein, nur waldschonend. Wenn man Beton z.B. jetzt 10km durch einen dünnen Schlauch mit Hochdruck pumpen könnte, wäre das wesentlich schonender dank high-tech.

sind eh hauptsächlich ein Scheinargument

Sicherlich richtig. Aber Schäden gibt es und die verursachen im Kulturwald auch messbar Verluste für lange Zeit.

Das erste was ich als Politiker wissen wollen würde ist, wieviel das ist und ob sich schonendere Baumaßnahmen lohnen. Wenn man nämlich wirklich alles einkalkuliert, kommt da meist ordentlich was zusammen. Da kann man dann auch durchaus jetzt schon Geld in die Hand nehmen um Schäden zu vermeiden.

Kranplätze müssen verdichtet sein

Ich sehe Ronny - ich wähle hoch.