Es ist mal wieder Zeit für einen Bug aus der "Aua!"-Ecke: Bei den neueren Java-Versionen 15 bis 18 hat sich im Dunstkreis Signaturprüfung von ECDA-Signaturen ein 'dieser Wert sollte niemals als Ergebnis rauskommen'
eingeschlichen, was dazu führt, dass man mit Signaturen auf dem Wert 0 quasi alles 'signieren' kann. Gut, wusste ich auch nichts von, ist auch eher speziell, aber (und hier wird's wirklich eklig) Oracle schon seit November bekannt gewesen. Und da bequemen die sich dann, bis April auf dem Sicherheitsloch zu hocken, und dann erst nen Fix rauszurücken. Wofür will Orakel noch gleich Geld beim bezahlten Support? Weil, keine Leistung gibt's überall sonst auch, und zumeist noch günstiger.
Und dann hat sich mal wieder eine IT-Firma so richtig schön unglaubwürdig gemacht. Dieses Mal geht es um eine Firma namens Atlassian, die bisher Software im Angebot hatte, mit der man Aufgaben für irgendwelche Projekte verfolgen kann, oder kleinere und größere Dokumentationen (Jira, Confluence), deren Produkte ich von der Arbeit kenne. Die Firma hat vor einer ganzen Weile mal angekündigt, dass die Server-Installationen der Produkte nicht mehr lange unterstützt werden, man solle doch auf Versionen umsteigen, die Atlassian auf eigenen Kisten laufen ließe. Gründe, warum man sowas wollen könnte sind schnellere Updates. Gegenargumente: Dann liegen ja ale Daten aus Tickets bei denen rum.
Tja, und dann ist vor ein paar Wochen einer nicht genauer genannten Zahl von Kunden, deren Systeme Atlassian betrieben hat, ein nicht genauer erklärter Ausfall zuteil geworden. Inzwischen hat Atlassian dann mal verraten, was da schief gegangen ist: Die wollten externe Referenzen auf ein Tool entfernen, was nicht mehr extern verfügbar ist, haben dabei Kommunikationsmist gemacht, und die Kundendaten gelöscht. Und genau das sollte einer Firma, die Cloud-Dienste anbietet, eben nicht passieren. Ganz großer Mist. Offenbar haben die auch keine Backups, die man schnell wieder zurückspielen kann, sonst würde der ganze Ausfall ja nicht schon mehrere Wochen dauern. Und dann mit den Hintergründen hinter ihrem Fuckup auch erst ziemlich spät um die Ecke kommen. Da möchte man doch als IT-Verantwortlicher seine Projektverwaltung in deren Hände legen. Nicht.
Meldung aus der 'Hupsi'-Ecke: Apple hat ja neulich das Studio Display rausgebracht, in dem ein iPad oder iPhone versteckt ist, und das auf einem System läuft, was zumindest verdächtig danach aussieht, als wäre es ein iOS. Entsprechend unterliegt es auch den gleichen Einschränkungen. Updates gehen nur, wenn Apples Server die jeweilige Version erlauben. Nun hatte Apple kürzlich ein iOS 15.4.1 veröffentlicht für alle aktuellen iPhones, das Gleiche für iPads, aber eben nichts für das Display. Und als Apple getan hat, was die Firma üblicherweise tut, nämlich das nicht mehr aktuelle iOS nicht mehr signieren, war davon wohl auch das iOS im Display betroffen, so dass niemand mehr ein aktuelles System in das Display spülen konnte. Hups. Da hat wohl jemand nicht gesehen, dass es eben auch noch ein iOS gibt, was sonst nicht als separates OS dargestellt wird.Die Lösung ist so einfach wie überschaubar: Wenn ein Update auf 15.4 für so ein Display (oder, wenn das nicht separat erfragt wird, auch allgemein) erfragt wird, ist die Antwort "Okay" schon in Ordnung.