News Sonntagsfrage: Eine Woche Log4Shell, was hat das für dich bedeutet?

[xexex]

A) der Nachfolger des MSM ist der LSA - wenn du, dein Admin, deine IT, deine whatever dafür zuständige Person das nicht updatet -> was kann da die Software für?

Das ist vollkommen richtig und mit LSA hat man sich auch endlich von dem Java Unterbau getrennt. Der Punkt an der Sache ist schlichtweg, wie häufig aktualisierst du solche "Tools"? Welches Unternehmen aktualisiert auf hunderten von Servern ständig alle Tools und Treiber, die versteckt irgendwelche veralteten Komponenten mitschleppen?

Was die Software dafür kann? Wieso wird bei der Installation solcher Software nicht gesagt, "Benötigte Komponente ist Java xy" und man überlässt die Aktualisierung solcher Frameworks den Admins, statt überall trojanische Pferde zu hinterlassen?

Das ist übrigens auch kein Windows Problem, es läuft unter Linux nach dem gleichen Schema. Egal ob du Java von Oracle oder eine freie Version in deinem System verwenden möchtest, egal wie häufig du die Java Pakete pflegst, jeder Scheißprogramm meint lieber eine "eigene" Java mitzubringen.

Das ist doch eh eher ne Microsoft Eigenart. Wenn der Entwickler da sein Zeug mitliefern will, dann liefert er das mit. Außer MS, nutzt da wirklich groß wer die SxS Pakete?

Jede "bessere" Software, wie du auf deinem Screenshot sehen kannst. Dort wurden dann nicht einfach stillschweigend irgendwelche Bibliotheken irgendwo in der dunklen Ecke abgelegt, sondern korrekt systemweit installiert, wo sie dann auch über Windows Update aktualisiert werden können.

Den Aufwand den manche in letzter Zeit betreiben mussten und teilweise noch müssen, ist an vielen Stellen ein selbstgemachtes Problem und beschränkt sich wie du schon treffend sagst nicht auf Java. Schaut man sich so manche Programmordner an, so findet man die "lustigsten" Sachen, von Java über VC++ Komponenten bis zu kompletten Browserengines, die kein Mensch pflegt. Sowas müsste eigentlich verboten werden und es müsste auch viel öfters einen Knall geben.

Früher hat da einfach jedes Programm den Internet Explorer genommen, mag für manche "schlimm" gewesen sein, aber der wurde wenigstens immer aktuell gehalten. Heute sieht es auf meinem System so aus, na dann Prost Mahlzeit!

 

[Unnu]

Und bei euch so?

Ich naja, steckt in diversen Produkten die halt Java nutzen. Nur knappes Handvoll, daher nicht so tragisch. Kernkomponrnten sind bei uns meist C, C++ (ja ich weiß, sind ganz eigene Herausforderungen!)

Der Kelch ging an mir vorüber, weil ich mit der Zusammensetzung der verschiedenen Repos nicht direkt was zu tun hab und glücklicherweise zu neu bin um alles zu kennen.

Ein-Zwei Kollegen aus‘m Team hatten weniger Glück.

Dazu noch die Supporter & alle mit Kundenkontakt. Die hatten unruhige Zeiten.

Ergänzung (20. Dezember 2021)

Und ich glaube im Leben nicht, dass früher die Sicherheitsprüfungen mehr/besser gemacht wurden als heute.

Das kommt darauf an, ab wann man die Entwicklung betrachtet.
Bis in die Mitte der 70er würde ich noch behaupten, würde der Beruf des Softwareingenieurs durchaus noch erst genommen und nur wirklich sicherer Code letztlich laufen gelassen!

Danach kam die Inflation und von dort ging es dann bergab.

 

[ComputerJunge]

Wieso wird bei der Installation solcher Software nicht gesagt, "Benötigte Komponente ist Java xy" und man überlässt die Aktualisierung solcher Frameworks den Admins, statt überall trojanische Pferde zu hinterlassen?

Wer sind hier "die Admins"?

In meinem Projektumfeld (Finanz-IT) dürfen das Anwendungs- und Servicemanager (schon länger) gar nicht (mehr). Jegliche Änderung an der "Software" beinhaltet zwingend ein komplettes Staging, d.h. erzwingt einen erneuten Abnahmetest inklusiver expliziter Freigaben durch die Anwendungsverantwortlichen aus den Fachbereichen und der IT. Im konkreten Falle erfolgen diese Abnahmen natürlich nicht auf einem vollständigen Fachtest, sondern "kompakten" Regressionstests (Smoketests). Die dritte Runde steht wohl nun an.
Ohne Auftrag (und damit revisionssichere Dokumentation) dürfen die Serviceverantwortlichen (ganze drei Personen) nicht einmal mehr das LogLevel in Produktion ändern.


Ich verstehe hier auch die etwas einseitige Kritik am grundlegenden Konzept der Java-Plattform nicht wirklich. Eine solche Lücke kann doch (gut gemeint) mit jeder anderen Sprache/Plattform entstehen und ist von der Art und Weise wie die Wiederverwendung (hier) umgesetzt ist, unabhängig.

Vergrößert die weltweit immense Einsatzbreite von Java das Problem? Ganz zweifellos.
Vergrößert der weltweite Erfolg von FOSS das Problem? Ganz zweifellos. Wenige "Hanseln" mit der Maintenance einer solchen zentralen Komponente alleine zu lassen ist eine Zumutung, fahrlässig und eigentlich sogar unverschämt. Da dürfen sich weltweit alle (großen) Unternehmen, die die libs gerne kostenlos nutzen lassen jetzt gerne für die nächste Zeit tagtäglich an die eigene Nase fassen.

 

[flappes]

Nix, nutze dieses unsichere Java nicht ;-)

 

[Bitcoon]

Überprüfung und Risikobewertung der von mir verantworteten Software veranlasst (gibt zum Glück nur wenig Angriffsfläche) und aktuell die Planung der nötigen Changes für Patches.

 

[honky-tonk]

Die dritte Antwort müsste eher lauten:

"Nein, ich glaube nicht, dass ich von der Zero-Day-Lücke betroffen bin"

die lücke ist präsenter als man glaubt:

Nix, nutze dieses unsichere Java nicht ;-)

viele programme sind ich java geschrieben, ohne das man was davon mitbekommt.

 

[Redirion]

log4j 1.2 ist genauso angreifbar, nur über eine andere remote code execution Schwachstelle (CVE-2019-17571). Wird auch nicht mehr gefixt werden, da end of life.

das ist aber meine ich etwas anderes. Bei Logging von "untrusted network traffic". Wenn man damit also ganz normales Logging seiner Anwendung betreibt, ḱann da gar nichts passieren.

 

[Discovery_1]

Bahnhof. Ich verstehe kein Wort. Vielleicht sollte man darüber nachdenken, Artikel so zu verfassen, das es auch der einfachste Laie verstehen kann?

 

[BorstiNumberOne]

@SV3N: Was es für mich bedeutet hat? Wenig Schlaf und viel Arbeit die letzte Woche.
Allein von Dienstag auf Mittwoch war ich 21h online und wir haben alle zusammen etwas über 100 Server an dem Tag gepatcht, wobei "Patchen" bei uns das Entfernen der Klasse "JndiLookup.class" mitsamt Neudeployment war. Die andere Hälfte folgte dann nach und nach an den darauffolgenden Tagen, Abenden und Nächten... je nach Zeit, wo ein produktionsfreies Zeitfenster in der Welt gegeben war. Gestern sind wir dann nur für unsere weltweite Applikation fertig geworden.
BTW gab es auch nun in der letzten Woche schon zwei Patches für Log4j, die 2.16 und 2.17. Ich denke mal, dass 2.18 und ff. nicht lange auf sich warten lassen werden.

 

[Gr33nHulk]

In der Umfrage fehlt: "Keine Ahnung, höre ich zum ersten mal von."

 

[Azdak]

Mich würde ja mal interessieren, vieviele vor dem patchen ein restor des hostes von einem backup < 10.12 gefahren oder alternativ den service aktiv auf kompromitierung geprüft haben.

 

[Rickmer]

Bis in die Mitte der 70er würde ich noch behaupten, würde der Beruf des Softwareingenieurs durchaus noch erst genommen und nur wirklich sicherer Code letztlich laufen gelassen!

Kommt drauf an wie du 'sicher' definierst.

Damals war der Gedanke Sicherheit (bzw. Vertraulichkeit) bei vielen noch gar kein Gedanke im Kopf - siehe z.B. das SMTP-Protokoll, jegliche Verschlüsselungsmöglichkeiten usw. sind erst später drum herum gewickelt worden.

Ich glaube eher, du leidest an einem akuten Fall von rosaroter Brille.

 

[Web-Schecki]

Wenn man damit also ganz normales Logging seiner Anwendung betreibt,

Definiere das genauer. Wenn du eine Anwendung hast, die in irgendeiner Art und Weise über das Netzwerk kommuniziert, dann werden in der Regel auch darüber entsprechende Einträge gespeichert... Die unzähligen, betroffenen Anwendungen betreiben also nicht wirklich "abnormales" logging...

 

[Redirion]

ich logge keinen Netzwerktraffic. Fertig. Da steckt doch keine Zauberei hinter.

 

[BorstiNumberOne]

Ich betreibe Minecraft Server. Dort ging die Info unter Admins sehr schnell rum. Noch Donnerstag am 09.12. nachts, war es bei uns überall gefixt. Erschreckend, dass es bei einigen Firmen erst Freitag/Samstag oder teilweise erst Montag der Fall war. Noch erschreckender, das es teilweise bei einigen jetzt über 11 Tage später immer noch nicht gefixt ist

Das ist ja das krasse. In unserer abteilungsübergreifenden Inforunde haben wir erfahren, dass Konkurrenten von uns erst einmal die Füße still gehalten und erst am Montag mit dem weiteren Vorgehen angefangen haben. Aber auch wir mussten bei den produktionskritischen Systemen uns mit den produzierenden Standorten rumstreiten, damit wir Zeitfenster für die Updates bekommen, so dass wir erst seit gestern mit allem fertig werden konnten.
Bei den KMUs sieht das sicher noch schlimmer aus, denn bevor mein Vater seine Firma aufgegeben hat, war er noch mal bei einem Mittelständler (kleiner Antriebshersteller) und die hatten natürlich noch Windows XP auf den Client-Rechnern. Das Thema IT ist für viele Firmen einfach nur ein Klotz am Bein mit dem lukrativsten Einsparpotential.

 

[FatFire]

Wir nutzen auf der Arbeit fast nur MS-Produkte, also kein Java am Start, was in diesem Fall natürlich ein Glücksfall ist. Nur einige Schnittstellen, die wir ansteuern, wurden zeitweise von den Betreibern vom Netz genommen, weil die fixen mussten. Daher indirekt betroffen.

Hart war ein Fragebogen (11 Din A4-Seiten) eines Kooperationspartner, der genaue Auskunft über unsere Infrastruktur und verwendete Software sowie Sicherheitsmaßnahmen haben wollte.
Vor allen Dingen interessant, dass die uns gar nicht glauben wollten, dass wir kein Log4j verwenden. Begründung: "Sie müssen doch Fehler protokollieren, da ist Log4j doch eigentlich obligatorisch."

Gut war auch ein Partner, der uns als Service-Konsumenten gefragt hat, ob er von der Problematik betroffen ist.

 

[Gandalf2210]

Da fehlt eindeutig die "weiß nicht" Antwortmöglichkeit

 

[Ranayna]

Ich betreibe Minecraft Server. Dort ging die Info unter Admins sehr schnell rum. Noch Donnerstag am 09.12. nachts, war es bei uns überall gefixt.

Der Punkt dabei ist aber: Wenn der Patch den Minecraft Server ausser Gefecht setzt weil er mit der heissen Nadel gestrickt war, was ist dann? Man kann ein paar Tage kein Minecraft spielen. Mag fuer einzelne dramatisch sein, aber im grossen und ganzen ist es irrelevant.

Wenn aber die Personalverwaltungssoftware nach dem Patch nicht mehr geht, oder die Kassensoftware, oder die Inventarsoftware, oder die Telefonanlage, oder, oder, oder, dann kann das fuer Firmen hoechst kritisch sein. Ja, sogar kritischer als eine moeglicherweise angreifbare Software, zumindest solange die Software nicht aus dem Internet erreichbar ist.
Und grade bei Branchensoftware, oder schlimmer noch, geschlossenen Appliances, ist man auch als Firma auf Gedeih und Verderb auf den Hersteller angewiesen. Und erschreckend viele davon sind kleine Krauter mit einer Handvoll Mitarbeiter, die schon in besten Zeiten kaum auf Security achten koennen weil dafuer die Manpower fehlt.

---

Konkret zu mir: Ich hatte das grosse Glueck das keines der Systeme die ich betreue, laut Herstelleraussagen, von Log4Shell betroffen ist. Eine bestimmte Softwareversion der Telefonanlage waere betroffen gewesen, aber die setzen wir nicht ein.
Ich waere aber nicht ueberrascht wenn da noch was kommt, denn die ersten Log4J Patches waren ja ganz offensichtlich nicht vollstaendig.

 

[Web-Schecki]

ich logge keinen Netzwerktraffic. Fertig. Da steckt doch keine Zauberei hinter.

Das ist schön für dich. Von Zauberei hat niemand gesprochen. Viele Anwendungen machen das aber im Fehlerfall, damit man als Entwickler reagieren kann. Und z.B. bei einem Webserver steht der User-Agent jeder Anfrage sogar im access.log... Das ist also grundsätzlich durchaus nicht unüblich.

 

[calluna]

Wir nutzen auf der Arbeit fast nur MS-Produkte, also kein Java am Start

Aber Microsoft nutzt für verschiedene Cloud-Dienste im Backend Produkte aus dem Java-Ökosystem - was hier auch schon mehr als einmal geschrieben wurde. ;-)

Davon abgesehen ist das auch eine Frage der Statistik... wenn Java (die Zahlen sind frei erfunden) z.B. 5 Mal häufiger als C# verwendet wird (Microsofts Gegenstück zu Java), dann ist es auch deutlich wahrscheinlicher, dass mehr Sicherheitslücken bezogen auf Java bekannt werden... die falschen Schlüsse, die manche Menschen bezogen auf Java ziehen, fallen in der Psychologie unter die Verfügbarkeits-Verzerrung.