Seit ein paar Tagen gehen die Nachrichten zur Log4j-Schwachstelle durch die Medien (https://www.zeit.de/digital/2021-12/log4j-sicherheitsluecke-software-log4shell-it), wie auch in dem hier verlinkten Artikel der Zeit-Online.

Das Problem ist deshalb so kritisch, weil Java fast überall verwendet wird, besonders bei den Web Application Servern, d.h. der Basis für sehr viele Web Applikationen. Dazu kommt noch, dass Log4j relativ tief im "Stack", also der Infrastruktur, dieser Java-Umgebungen sitzt, und dementsprechend auch häufig verwendet wird.



iner der Gründe für die aktuelle Aufregung ist, dass die Bibliothek Log4j in so vielen Onlineanwendungen steckt. Noch immer ist es nicht möglich, abschließend zu beurteilen, welche Unternehmen, Behörden und Dienste von der Lücke betroffen sind. Listen mit bestätigten Fällen sind lang und prominent besetzt: von der Gamingplattform Steam über IBM, Google, Tesla und Twitter bis hin zu Amazons Serverdienst AWS, VMware, Cloudflare und vielen anderen Anwendungen.

Und wie der Artikel ebenso korrekt darstellt:


in Problem ist aber, dass das oft nicht ausreicht: Mitunter müssen alle Produkte, die Log4j verwenden, einzeln angepasst werden, um die Lücke zu schließen. Das ist kompliziert und dauert.

Man kann dies u.U. nicht durch ein einfaches Update beheben, sondern muss die ganze Entwicklungsumgebung neu aufsetzen, damit der Rest der Softwarebibliotheken mit dem Log4j Update kompatibel sind. Wenn man sich ansieht, wie schnell es bei der STRUTS-Schwachstelle ging, kann dies bei einigen Firmen Jahre dauern.

Hier liegt der Artikel aber m.E. falsch:


Um direkt betroffen zu sein, müsste eine Anwendung auf dem eigenen Rechner laufen, die Aktivität mit Log4j protokolliert und über das Internet erreichbar sein. "Ein Heimanwender hat üblicherweise keinen solchen Zugang nach außen hin", sagt Hahn von G-Data.

Beim IoT bin ich damit nicht so sicher, d.h. die heimische Alarmanlage, der Smart-Speaker und ähnliche Geräte könnten davon durchaus betroffen sein.

Ein guter Hinweis, Smart Technologie nie zu verwenden. Man braucht sie einfach nicht

Ein guter Hinweis, Smart Technologie nie zu verwenden. Man braucht sie einfach nicht
Sag das nicht. Das kann recht komfortabel sein. Allein die Lichtsteuerung per Sprache. Allerdings komplett ohne Internet mit einer lokalen Lösung(Zigbee)

Sag das nicht. Das kann recht komfortabel sein. Allein die Lichtsteuerung per Sprache. Allerdings komplett ohne Internet mit einer lokalen Lösung(Zigbee)
Sagst du dann "es werde licht?

Sagst du dann "es werde licht?
"Computer - Licht - 40%"

Irgendwo las oder hörte ich, daß
es sich um eine Logging/Protokollierung/Aufzeichnungs-
Bibliothek handeln solle -
der Name machte auch Sinn -
, die hauptsächlich serverseitig eingesetzt
werden würde.

An Logging-Apps habe ich 3C All-In-One-Toolbox
und 3C Battery Manager/Monitor
auf meinen Scherzphones durchgehend laufen.

Java müsste ich bei meinen Linux(en)
immer nachträglich zusätzlich installieren.


Noch fühle ich mich gänzlich von dem Problem
unbelästigt.

Ist Java nicht ein Oracle-Produkt?
Was sagt Oracle dazu?

"Computer - Licht - 40%"
Fehler 203: Ortsangabe fehlt.

[...]

Ist Java nicht ein Oracle-Produkt?
Was sagt Oracle dazu?

Das ist eine komplizierte Frage, aber nein, grob gesagt hat Oracle die Rechte auf die Sprache selbst, aber nicht auf irgendwelche Open-Source Softwarebibliotheken, die auf dieser Sprache beruhen.

Kurz Google-Suche 'log4j homepage'
ergibt


Apache Log4j 2
06.12.2021 — The Log4j API is a logging facade that may, of course, be used with the Log4j implementation, but may also be used in front of other logging ...

Und Apache ist Server.
Also, wer eine eigene Webseite mit
Root-Server betreibt, der könnte
primär betroffen sein.

Kurz Google-Suche 'log4j homepage'
ergibt


Apache Log4j 2
06.12.2021 — The Log4j API is a logging facade that may, of course, be used with the Log4j implementation, but may also be used in front of other logging ...

Und Apache ist Server.
Also, wer eine eigene Webseite mit
Root-Server betreibt, der könnte
primär betroffen sein.

Apache ist erst einmal ein Projekt. Es sagt daher wenig darüber aus, wo der Logging Server untergebracht ist.

Apache ist erst einmal ein Projekt. Es sagt daher wenig darüber aus, wo der Logging Server untergebracht ist.

Wenn es denn installiert ist.
Und aktiviert ist.
Und 24/7 aktiviert ist.
Warum sollte man was aufzeichnen wollen?
Ein Logger frisst HDD, RAM und CPU.
Und die Logs müssen automatisch ausgewertet werden,
und Mails gesendet bei Ereignis-Stufen.

Also, wer professionell die log4j nutzt,
der wird mit den aufgetauchten Problemen umgehen können.

Verschwörerie: Alles eine Übertriebene Zeitungsente,
um einen Billig-Konkurrenten abzuschließen,
und gar obendrauf noch Viren-Killer-Software zu verkaufen.
Jetzt zu Weihnachten sind die Leute sentimental,
wollen keine Ängste haben,
also sitzt das Geld lokker.

Wenn es denn installiert ist.
Und aktiviert ist.
Und 24/7 aktiviert ist.
Warum sollte man was aufzeichnen wollen?
Ein Logger frisst HDD, RAM und CPU.
Und die Logs müssen automatisch ausgewertet werden,
und Mails gesendet bei Ereignis-Stufen.

Also, wer professionell die log4j nutzt,
der wird mit den aufgetauchten Problemen umgehen können.

Verschwörerie: Alles eine Übertriebene Zeitungsente,
um einen Billig-Konkurrenten abzuschließen,
und gar obendrauf noch Viren-Killer-Software zu verkaufen.
Jetzt zu Weihnachten sind die Leute sentimental,
wollen keine Ängste haben,
also sitzt das Geld lokker.

Nein, die Schwachstelle existiert schon, was man an der Dokumentation des Projektes erkennen kann. Es ist prinzipiell auch kein Problem, das Logging auf einen zentralen Server auszulagern. Log4j ist da auch nicht die einzige Lösung. (Ich nehme hier kommerzielle Applikationen aus, die auf eine bestimmte Art des Logging festgelegt sind.)

Warum sollte ich was aufzeichnen wollen? Bei der Arbeit würde mir eine US-Behörde mit drei Buchstaben auf den Pelz rücken, wenn etwas nicht nachvollziehbar ist.

Nsa, fbi, cia, cdc ?

Seit ein paar Tagen gehen die Nachrichten zur Log4j-Schwachstelle durch die Medien (https://www.zeit.de/digital/2021-12/log4j-sicherheitsluecke-software-log4shell-it), wie auch in dem hier verlinkten Artikel der Zeit-Online.

Das Problem ist deshalb so kritisch, weil Java fast überall verwendet wird, besonders bei den Web Application Servern, d.h. der Basis für sehr viele Web Applikationen. Dazu kommt noch, dass Log4j relativ tief im "Stack", also der Infrastruktur, dieser Java-Umgebungen sitzt, und dementsprechend auch häufig verwendet wird.



Und wie der Artikel ebenso korrekt darstellt:



Man kann dies u.U. nicht durch ein einfaches Update beheben, sondern muss die ganze Entwicklungsumgebung neu aufsetzen, damit der Rest der Softwarebibliotheken mit dem Log4j Update kompatibel sind. Wenn man sich ansieht, wie schnell es bei der STRUTS-Schwachstelle ging, kann dies bei einigen Firmen Jahre dauern.

Hier liegt der Artikel aber m.E. falsch:



Beim IoT bin ich damit nicht so sicher, d.h. die heimische Alarmanlage, der Smart-Speaker und ähnliche Geräte könnten davon durchaus betroffen sein.

Bei meinem MAC habe ich die jeweils aktuellste Java Version, hoechst Sicherheitsstufe und automatische update Funktion
eingeschaltet. Es hat vor einigen Tagen noch ein Sicherheitsupdate fuer das gesamte Betriebssystem von Apple gegeben.
Ich gehe davon aus das durch die aktuellen Java und Apple Updates die Sicherheitsluecke zumindest fuer User mit MacOS
Betriebssytem ab Version Catalina, Bir Sur und Monterey beseitigt ist.

Kannst Du mir sagen ob das stimmt oder ich einem Irrtum unterliege?

Bei meinem MAC habe ich die jeweils aktuellste Java Version, hoechst Sicherheitsstufe und automatische update Funktion
eingeschaltet. Es hat vor einigen Tagen noch ein Sicherheitsupdate fuer das gesamte Betriebssystem von Apple gegeben.
Ich gehe davon aus das durch die aktuellen Java und Apple Updates die Sicherheitsluecke zumindest fuer User mit MacOS
Betriebssytem ab Version Catalina, Bir Sur und Monterey beseitigt ist.

Kannst Du mir sagen ob das stimmt oder ich einem Irrtum unterliege?

Das wird dich wahrscheinlich gar nicht betreffen, da du keine Server-Applikationen auf deinem Rechner am laufen hast. Diese Schwachstelle betrifft eher Firmen, obwohl sie auch bei Druckern, Smart-TVs und ähnlichen Geräten möglich ist. (Nur wird ein Hacker es ziemlich schwer haben auf dein LAN zu gelangen, und dein Drucker ist wahrscheinlich kein allzu lohnendes Ziel eines Angriffs.) iCloud war jedoch betroffen und wurde gepatcht.

P.S.: Was machst du eigentlich mit einem zutiefst imperialistischen Rechner? Solltest du nicht einen Lenovo mit einer China-Linux-Distribution benutzen?

Das wird dich wahrscheinlich gar nicht betreffen, da du keine Server-Applikationen auf deinem Rechner am laufen hast. Diese Schwachstelle betrifft eher Firmen, obwohl sie auch bei Druckern, Smart-TVs und ähnlichen Geräten möglich ist. (Nur wird ein Hacker es ziemlich schwer haben auf dein LAN zu gelangen, und dein Drucker ist wahrscheinlich kein allzu lohnendes Ziel eines Angriffs.) iCloud war jedoch betroffen und wurde gepatcht.

P.S.: Was machst du eigentlich mit einem zutiefst imperialistischen Rechner? Solltest du nicht einen Lenovo mit einer China-Linux-Distribution benutzen?

Danke Dir fuer die professionelle Antwort.

Zu Deiner Frage:

Kein Mensch ist perfekt! Ich kaufte sogar MACs wenn die noch in den USA produziert wuerden,
weil die Hardware und Software eben gut ist. Jetzt ergaenze ich mein Outing. Ich habe sogar zwei
John Deere Strong Box Batterien in meinem Landrover und mein neustes Produkt aus den USA
ist ein ESEE Bushcraft Messer Model 5 OD Green Blade 3D in 1095 Carbonstahl - Made in the USA-!

Wenn ich noch an meine Leatherman Tools, Zippo Feuerzeuge und Maglite Taschlampen denke,
fuehle ich mich schon wie fast wie ein Amistricher! Ausserdem rauche ich seit mindesten 30 Jahre
ausschliesslich Lucky Strike und plane mir einen Airstream Trailer zu kaufen.

Danke Dir fuer die professionelle Antwort.

Zu Deiner Frage:

Kein Mensch ist perfekt! Ich kaufte sogar MACs wenn die noch in den USA produziert wuerden,
weil die Hardware und Software eben gut ist. Jetzt ergaenze ich mein Outing. Ich habe sogar zwei
John Deere Strong Box Batterien in meinem Landrover und mein neustes Produkt aus den USA
ist ein ESEE Bushcraft Messer Model 5 OD Green Blade 3D in 1095 Carbonstahl - Made in the USA-!

Wenn ich noch an meine Leatherman Tools, Zippo Feuerzeuge und Maglite Taschlampen denke,
fuehle ich mich schon wie fast wie ein Amistricher! Ausserdem rauche ich seit mindesten 30 Jahre
ausschliesslich Lucky Strike und plane mir einen Airstream Trailer zu kaufen.

Keine Angst, ich werde es dem Ministerium für Staatssicherheit schon nicht verraten. ;)

Das ist eine komplizierte Frage, aber nein, grob gesagt hat Oracle die Rechte auf die Sprache selbst, aber nicht auf irgendwelche Open-Source Softwarebibliotheken, die auf dieser Sprache beruhen.

*g*

Zum Strangthema: schon bekannt? https://github.com/hillu/local-log4j-vuln-scanner/issues/7

*g*

Zum Strangthema: schon bekannt? https://github.com/hillu/local-log4j-vuln-scanner/issues/7

Ja, herrlich. Obwohl eine jede halbwegs kompetente Organisation einen andere Weg wählen sollte, d.h. man nimmt schlicht an, dass der Bug existiert. Ich bekomme gerade detaillierte Berichte, welche Versionen wie gepatcht werden müssen, wenn überhaupt. (Einige alte Versionen sind nicht betroffen.)

Ja, herrlich. Obwohl eine jede halbwegs kompetente Organisation einen andere Weg wählen sollte, d.h. man nimmt schlicht an, dass der Bug existiert. Ich bekomme gerade detaillierte Berichte, welche Versionen wie gepatcht werden müssen, wenn überhaupt. (Einige alte Versionen sind nicht betroffen.)

Das ist auch lustig:





https://pbs.twimg.com/media/FGmT229XIAgaofr?format=jpg&name=large

Das ist auch lustig:





https://pbs.twimg.com/media/FGmT229XIAgaofr?format=jpg&name=large

Du willst Bitcoin nicht zu einem Preis von fast 700 Milliarden USD kaufen? :D Nein, ich bin mir sicher, dass hier so einige Front-End Web Server betroffen sein werden, wo die Zugriffsrechte nicht sauber getrennt wurden, und der Logging Service auf dem Server selbst lief.

Du willst Bitcoin nicht zu einem Preis von fast 700 Milliarden USD kaufen? :D Nein, ich bin mir sicher, dass hier so einige Front-End Web Server betroffen sein werden, wo die Zugriffsrechte nicht sauber getrennt wurden, und der Logging Service auf dem Server selbst lief.
Tut mir leid, ich muß noch mal eins draufsetzen. Fettung von mir:

Das Bundesamt für Sicherheit in der Informationstechnik warnt vor einer „extrem kritischen Bedrohungslage“. In einem auf vielen Computern verbreiteten Softwaremodul sei eine gefährliche Sicherheitslücke entdeckt worden. Mehrere Stadt- und Gemeindeverwaltungen im Altenburger Land reagierten prompt – unter anderem mit der Schließung von Ämtern. https://www.lvz.de/Region/Altenburg/Schutz-vor-Cyberangriffen-IT-Sicherheitsluecke-fuehrt-zu-Schliessungen-von-Aemtern-im-Altenburger-Land

:rofl:

Mein Mitgefühl allen an der Front, ich gehe jetzt in die Ecke eine Runde schämen ( weil ich mich amüsiere) bzw. fremdschämen (Erklärung unnötig m.E.).