ComputerBase Menü
Aktuelles

News Log4Shell: Sicherheitslücke in log4j für Java hält die IT-Welt in Atem

Mister79 schrieb:
Kann mal jemand kurz erklären was das ist?
Zum Vergrößern anklicken....
Ein Log ist eine Tagebuchaufzeichnung von Aktivitäten. Z.B. loggt das Board hier, wann du zuletzt Online warst. Jemand hielt es für eine gute Idee per Standard zu erlauben, dass der "Logger" nicht nur Text abspeichert, was man erwarten würde, sondern beliebige Computerprogramme (bzw. Code) aus dem Internet runterlädt und ausführt.
 
  • Gefällt mir
Reaktionen: kim88, butchooka und Mister79
MadCat[me] schrieb:
Es kommt stark darauf, welcher Logger eingesetzt wird.
Zum Vergrößern anklicken....
Ok, da war ich etwas zu generalisierend, das stimmt. Ich meinte damit eher, dass man als normaler Nutzer in den meisten Fällen nicht wissen kann, was genau die Software als Logger einsetzt. Wenn man sich vorher schlau macht, ob die Software betroffen ist, dann ist das natürlich auch eine Lösung, aber dann hat sich die Frage nach der Gefährdung ja eh erledigt.
 
  • Gefällt mir
Reaktionen: MadCat[me]
Mister79 schrieb:
Kann mal jemand kurz erklären was das ist?
Zum Vergrößern anklicken....
Jo, also ganz kurz.
Ist eine library um Daten zu loggen. zb. User mit user agent xyz hat um 12:00 Uhr blub gemacht.
Das wird dann zb in eine Datei oder sonst wo hingeschrieben.

Jetzt hat log4j aber ne super tolle funktion indem es einen log interpretieren kann und dann etwas ausführt.
Das ist das gefährliche.
Jetzt schickst du eine Datei im HTTP Protokoll geschrieben an den Service. Als user agent schreibst: lade x herunter und führe es aus. Log4j bekommt das und macht das wirklich. Kabumm.
 
  • Gefällt mir
Reaktionen: YetiSB, fahr_rad, Pankrat und 3 andere
ComputerJunge schrieb:
Andererseits, wenn die "Backends" (oder eines) unkontrolliert Internetadressen aufrufen können, wird es gleich wieder richtig unfein.
Zum Vergrößern anklicken....
Könntest du ggf. diesen Satz ein wenig näher erläutern?

Das Aufrufen ist "erst" ein Problem, wenn mein Server JNDI-Anfrage erhält oder? Solange mein Server keine solche Anfrage erhält lädt und führt er auch keinen Code aus.
 
Ja, hat heute bei der Arbeit auch gut für Beschäftigung gesorgt, und ja, Spring-Boot-Starter ist in der Tat nervig,
da hier eine gepatchte Variante ( = die 2.15.0 mitbringt ) erst am 23.12. erscheinen soll.

Muss man also in so einer Umgebung selber Hand anlegen ... wie potentiell gefährlich und irgendwie übers Ziel hinaus dieser Mechanismus eines Loggers ist, remote Code zu laden und auszuführen - nun ja, darüber braucht man nicht weiter sprechen.

@lugge

Hast du den Thread / das Forum verfehlt? Scheint mir so ... :n8:
 
Malaclypse17 schrieb:
Ist gar nicht so einfach das herauszufinden
Zum Vergrößern anklicken....
Falc410 schrieb:
Also mein Kollege hat seinen Scanner über den Haufen geworfen und verweist auf diesen hier: https://github.com/hillu/local-log4j-vuln-scanner
Zum Vergrößern anklicken....
Habe gerade mal diesen Scanner über einige meiner Partitionen laufen lassen.
local-log4j-vuln-scanner.exe C: D: E: usw.

Holla, da kommt Einiges zum Vorschein: MediathekView (Java-basierend nutzt log4j.jar), CD von Röntgenaufnahmen o.ä. (nutzt log4j.jar), Slay the Spire "desktop-1.0.jar" -> besitzt 3 "JndiManager*.class"es.

Jetzt sollte ich vielleicht besser MediathekViewWeb.de (falls die überhaupt sicher davor ist) statt der Java-basierenden App nutzen.

Wäre der Scanner nicht etwas für alle Windows-Nutzer? 😉
Also jedenfalls für die, die eine CLI/CMD bedienen können. :p

Grüße

Edit: @Jan -> Vielleicht könnte man dieses Tool prüfen & ggf. für alle CB-Leser verlinken o.s.ä.?
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: ComputerJunge
floh667 schrieb:
phew. grad mal geschaut ob unsere sonicwall betroffen ist. Aber alle gen6 sonicwall router nutzen log4j nicht.
Aber Leute die eine ubiquiti unifi laufen haben, sollten sich kümmern https://community.ui.com/releases/U...n-6-5-54/d717f241-48bb-4979-8b10-99db36ddabe1
Zum Vergrößern anklicken....
Jupp...hab das ganze "Gäste Wlan" darüber aufgebaut (in einem kleinen Hotel)...ist am WE komplett weggeschmiert...kommste Montag zur arbeit und alles läuft nicht mehr so wie es soll!^^...erste Idee war das Chef wieder irgendwas gefummelt hat..."Ausnahmsweise" war Er mal nicht Schuldig!°°

Hab heute Früh erstmal alles bis auf den Rezeptions Rechner offline genommen, was "Gäste Wlan" angeht.
Lustig fand ich das "Apple" Geräte auf der Haupt Seite von "Apple" gelandet sind und nicht auf der "Vorschaltseite" vom Hotel wo man den "Wlan" Nutzungs Bedingungen vom Hotel zustimmen muß um online zu sein, und weitergeleitet wird, waren dann aber online!!!...einfach so???
Android hatte zwar die Vorschalt Seite ist aber in einem "service unavailable" Error gelandet.

Und ich war so zufrieden mit "Ubiquiti Unifi"...naja irgendwas ist halt immer!...hab schon Kaffee aufgesetzt...

Peace!

Edit\ ist gefiXt____Big Thx@floh667
 
Zuletzt bearbeitet:
Tanzmusikus schrieb:
Jetzt sollte ich vielleicht besser MediathekViewWeb.de (falls die überhaupt sicher davor ist) statt der Java-basierenden App nutzen.

Wäre der Scanner nicht etwas für alle Windows-Nutzer? 😉
Zum Vergrößern anklicken....
Das finde ich etwas übertrieben. Lokale Anwendungen können natürlich auch zum Problem werden, wenn sie Inhalte, die von anderen Nutzern erstellt werden, herunterladen. Bei MediathekView müsste schon jemand eine der Online Datenbanken manipulieren, damit das zum Problem wird.
 
paokara schrieb:
Könntest du ggf. diesen Satz ein wenig näher erläutern?
Zum Vergrößern anklicken....
Ich kann es gerne versuchen, aber wichtig: Ich bin bei Security auch nur noch "fortgeschrittener Laie!" und meinen praktischen Java-Fähigkeiten sind mittlerweile leider auch antik. Also, daher bitte alles mit dem notwendigen Vorbehalt!

Ja, wenn Dein Logging grundsätzlich keinerlei freie Nutzereingaben (oder auf anderen Wegen entgegengenommene beliebige Stringliterale) ins LogFile schreibt, besteht keine unmittelbare Gefahr. Diese Sicht kann aber schon wieder veraltet sein.
 
maxpayne80 schrieb:
@lugge

Hast du den Thread / das Forum verfehlt? Scheint mir so ... :n8:
Zum Vergrößern anklicken....
Ich wollte mich auf die Aussage in der News "Auch nicht direkt mit dem Internet verbundene Systeme sind nicht vor einer Attacke gefeit, weil schon eine Anfrage über einen kompromittierten Rechner ausreicht, um ein weiteres System zu infiltrieren" beziehen. Das klang so ein wenig nach Quarantäne, von wegen wenn dein PC keinen Kontakt nach außen hat infiziert er sich auch nicht. Aber ja, der "Witz" war wohl einfach nicht so toll ;)

:n8:
 
Habe in diversen Beiträgen gelesen das Apple auch betroffen sein soll, ich habe mich nur gefragt wieso die irgend eine Art von Java Software betreiben sollten... .
Ach übrigens falls das noch niemanden aufgefallen ist, ich persönliche schätze das min. 50% aller Android Apps log4j nutzen wird ^^ das scheint entweder keinem aufgefallen sein, oder es will niemanden auffallen.
 
Wir haben in der Firma auch schon alle VMware vCenter Server gepatcht, die wir patchen durften. Bei einigen Kunden muss man halt erst eine Downtime genehmigt bekommen.
 
Jetzt im Maven-POM-File log4j schnell auf 2.15.0 setzen :D
Soweit ich es im Studium mitbekommen habe ist log4j ein weit-verbreiterter Standard-Logger für Java, also da sollten die betroffenen jetzt schnell reagieren. Insbesondere Logger-libraries können da viele Daten preisgeben.
 
mrhanky01 schrieb:
Habe in diversen Beiträgen gelesen das Apple auch betroffen sein soll, ich habe mich nur gefragt wieso die irgend eine Art von Java Software betreiben sollten...
Zum Vergrößern anklicken....
Vor über 20 Jahren hatte Steve Jobs noch höchstpersönlich angekündigt den Mac zur besten Plattform für Java zu machen. Heute erinnert sich wohl kaum noch einer daran.
We will offer the best Java platform on the planet right out of the box,
Zum Vergrößern anklicken....
Steve Jobs JavaOne 2000
 
Conqi schrieb:
Gefühlt nimmt die Dichte an kritischen und gleichzeitig weit verbreiteten Lücken immer weiter zu.
Zum Vergrößern anklicken....
Nun, da die wenigsten Entwickler wirklich "Sicherheitsexperten" sind und man ohnehin heute unter ständigem Zeitdruck steht - dank immer kürzere Produktzyklen, BWL-Absolventen, die Nullplan haben, aber mit Buzzwords wie KI , Machine Learning usw. um sich werfen und geizigen Kunden - und man sich bei solchen Sachen wie Penetrationstests der Software auch Gedanken machen muss um mögliche Angriffsvektoren, fehlt gelinde gesagt oft einfach die Zeit aber auch die "Kreativität" und das Wissen.

Wobei ich mir hier bei der Sicherheitslücke schon wieder die Hände über den Kopf zusammen schlage und mir denke: Habt ihr Trottel eigentlich die einfachste Grundlage der Sicherheit vergessen? SOBALD ETWAS VON AUSSEN KOMMT HAT MAN DEM ZEUG NICHT ZU VERTRAUEN!

Die Lücke als ganzes würde sich bereits drastisch entschärfen lassen, wenn man die Eingaben der User prüft und in dem Fall mit einer White-/Allowedlist.

Der Fehler, die Sicherheitslücke liegt in dem Fall nicht alleine in log4j, sondern auch in der teilweise schon unbedachten Nutzung der Funktion.
Conqi schrieb:
Aktuell ist halt niemand für sowas haftbar, daher hat auch niemand Interesse an besseren Kontrollen.
Zum Vergrößern anklicken....
Wenn man hier nun wirklich "Strafen" einführen würde, wenn Entwickler ein Fehler in der Software einbauen oder eine Sicherheitslücke, dann würde über kurz oder lang sich jede Firma aus dieser Branche zurückziehen und es würde auch keiner mehr heute Entwickler werden, weil man quasi jeder Zeit mit massiven Schadensersatzforderungen - gerade in den USA - als auch Strafen zurechnen hätte und keine Firma geht so ein Risiko ein.

Ebenso würde OpenSource vollständig aussterben, denn keiner wirklich keiner würde noch etwas in dem Bereich machen, weil man ohne finanzielle Absicherung sich über kurz oder lang das Leben versaut.

So ärgerlich und so verständlich der Frust darüber ist, dass die "Qualität nachlässt" - was eher gefühlt so ist, pro 1000 Zeilen Code hat die Fehlerrate eigentlich nicht wirklich zu genommen.

sikarr schrieb:
Das ist nicht nur gefühlt so. Code wird immer komplexer, viele greifen auf fertige CodeTemplates und Bibliotheken zurück und haben gleichzeitig weniger Zeit für die Qualitätskontrolle.
Zum Vergrößern anklicken....
Dass man auf fertige Codetemplates, Bibliothek oder Frameworks zurückgreift, ist eigentlich sogar zu begrüßen, weil man damit in der Regel eine wesentlich besser getestete Codebasis schafft, als wenn man alles selbst programmiert.

Klar, ich kenne so manche Kollegen, die nun wieder behaupten werden, dass wenn sie ihren Code selbst schreiben, wesentlich besseren Code produzieren und das weniger Sicherheitslücken hat usw. Das ist aber in der Regel falsch!

Das Problem ist allgemein eher die immer komplexer werdende Welt der Softwareentwicklung und allgemein der Zeitdruck. Es gibt heute - auch durch die BWLer in den Unternehmen gefordert - sehr viele eher pragmatische Entwickler, die "rohe Prototypen" als produktiven Code verwenden - also der erste Lösungsweg, um überhaupt eine Funktion zulaufen zu bekommen. Wenn es dann geht, geht man direkt an die nächste Baustelle. Ordentliches Refactoring, Umstrukturierung oder die Suche nach einem besseren Code? In der Regel fehlanzeige.

Dazu kommt auch, dass "Test-Diven-Development" immer noch ein Fremdwort für so manche Entwickler ist. Genau so wird sich um Sicherheit kaum Gedanken gemacht - bei letzteren erwische ich mich auch manchmal, dass ich Penetrationstests und Co nicht durchführe, okay aber dafür achte ich konstant darauf, dass ich nichts vertraue, was von außerhalb kommt und da nichts ungefiltert ins System lasse.

Conqi schrieb:
Hier läuft offensichtlich etwas fundamental falsch.
Zum Vergrößern anklicken....
Ja, das läuft es, aber es wird auch immer komplizierter das alles zu überblicken. Ich kann da ein Liedchen von singen.
MadCat[me] schrieb:
Kommt ganz darauf an, was der Server macht. Sollte er Inhalte verarbeiten, die von außen kommen können und dazu diese mit log4j loggen, wäre er gefährdet.
Zum Vergrößern anklicken....
Und da frag ich mich, was die Entwickler der Software gemacht haben und ob die echt ungefiltert da einige Sachen einfach weiter geben.

Bei so einer Funktion würde ich persönlich die Parameter nur selbst zusammen gebaut übergeben und NIEMALS von außen und das scheinbar auch noch ungefiltert.

Aber okay, was wundere ich mich da. ... viele Entwickler sind ja bis heute zu dumm "Prepared Statements" für SQL zu verwenden.
 
  • Gefällt mir
Reaktionen: sikarr
Idon schrieb:
Die News bringt einem Laien wie mir nichts.

Was muss ich als konkreter User, der das Internet zum Zocken, Trollen und Pornosschauen nutzt, beachten? :D

Oder kann mir das alles egal sein, solange ich keine eigenen Server hoste?
Zum Vergrößern anklicken....
Ging mir genauso.
Man wollte den normalen Nutzer wohl nicht zu viel beruhigen.
Es scheint sich bei dem Problem aber ausschliesslich um Server Software zu handeln.

Zitat:
"Die Abkürzung «log4j» steht für «Logging for Java». Dabei handelt es sich um eine Server-Software, die Anwendungen in der Programmiersprache Java beim Betrieb hilft."
https://www.watson.ch/digital/schwe...r-das-ganze-internet-so-gefaehrlich-ist-log4j

Ein simpler Satz wie dieser im Artikel und wir hätten es alle verstanden. :)

Man muss dann wohl nur aufpassen, dass man sich über die kompromittierten Server nix einfängt.
Das eigentliche Problem ist aber Sache der Server Administratoren.
Also hoffen wir mal, dass die meisten ihren Job gut machen. ;)
 
  • Gefällt mir
Reaktionen: Idon und DFFVB
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

SVΞN
News Sonntagsfrage: Eine Woche Log4Shell, was hat das für dich bedeutet?
11 12 13
Antworten
244
Aufrufe
36.312
chartmix
C
T
  • Artikel
Leserartikel RISC-V: Warum die Welt eine freie Instruction Set Architecture braucht
2 3
Antworten
42
Aufrufe
16.166
Piktogramm
Piktogramm
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz