ComputerBase Menü
Aktuelles

News Log4Shell: Sicherheitslücke in log4j für Java hält die IT-Welt in Atem

Jetzt wuesst ich mal gerne, was fuer serverseitige Anwendungen ihr anwendet, die ins Dateisystem loggen und wie ihr dann Observability gewaehrleistet. Mal ganz davon abgesehen, dass ins Dateisystem loggen ein Performance-Killer ist. man sich um Dinge wie Log-Rotation kuemmern muss etc. Man stelle sich vor, jemand aktiviert Debug-Level, da kommen ganz schnell einige GB an Log-Daten zusammen.
 
  • Gefällt mir
Reaktionen: foo_1337
Wir haben auch diverses Zeugs, was das leider so macht (z.B. php kram). Muss dann halt rotiert werden, mit allem pain der ggf. daran hängt. Immerhin hat man bei php in der Regel nicht die fd Problematik. Eingesammelt wird es via fluentd. Spätestens wenn die App containerisiert wird, ist aber schluss damit.
 
In meinem Kundenumfeld (Bank) ist die Systemlandschaft, wie man wirklich treffend schreiben kann, historisch gewachsen. Das ist ein Zoo aus wenigen Standardsystemen, zahlreichen Individuallösungen und vielen ursprünglich als Standardlösung eingeführten (der beliebte "Trick") Systemen, die mittlerweile ganz viele Sonderlocken erhalten haben.
Dort loggen so ziemlich alles Systeme noch primär ins Dateisystem, von dort zumeist aber zentral eingesammelt und dann zu unterschiedlichen Ausmaßen ausgewertet und irgendwohin "gepushed".

Bis Container die breite Basis für Verteilung und Betrieb sind, wird es noch "einige wenige" Jahre dauern.
 
  • Gefällt mir
Reaktionen: mental.dIseASe und kodix
SheepShaver schrieb:
Jetzt wuesst ich mal gerne, was fuer serverseitige Anwendungen ihr anwendet, die ins Dateisystem loggen und wie ihr dann Observability gewaehrleistet. Mal ganz davon abgesehen, dass ins Dateisystem loggen ein Performance-Killer ist. man sich um Dinge wie Log-Rotation kuemmern muss etc. Man stelle sich vor, jemand aktiviert Debug-Level, da kommen ganz schnell einige GB an Log-Daten zusammen.
Zum Vergrößern anklicken....
So ziemlich alles, was nicht aktuell in der Cloud ist. Webserver, Datenbanken, diverse selbst geschriebene Software sowie diverse sehr spezifische Software wie für Buchhaltung, Versicherungsmathematische Berechnungen, Datenaustausch mit diversen Externen Unternehmen, ITSM Suite, Monitoring, ...
Man könnte fast sagen: Alles. Wie oben bereits von mir geschrieben ;)
Wie gewährleistet man Observability? Indem man die Logs sehr regelmäßig abholt/einsammelt. Das war's. Wüsste nicht dass das jemals ein Problem bei uns war. Was dagegen oft ein Problem ist, da hast du völlig recht: Logdateien wachsen enorm schnell an, weil irgendwer Quatsch macht. Dazu kommen dann historisch schlecht aufgesetzte Server, in denen /var/log auf der gleichen Partition liegt wie /, wodurch das Dateisystem auch öfter mal vollläuft, wenn die Anwendungen frei drehen, ...
Die restlichen Details spare ich mir an der Stelle.
Performance stört bei uns eigentlich nie - das meiste liegt virtualisiert auf einem All-Flash-Storage, der hat genug IOPS und Durchsatz um menschliche Fehler auszugleichen.
Ich weiß was du jetzt denkst, und viele andere auch - aber das ist nicht meine Entscheidung gewesen ;)


ComputerJunge schrieb:
[...] historisch gewachsen. [...] Dort loggen so ziemlich alles Systeme noch primär ins Dateisystem, von dort zumeist aber zentral eingesammelt und dann zu unterschiedlichen Ausmaßen ausgewertet und irgendwohin "gepushed".

Bis Container die breite Basis für Verteilung und Betrieb sind, wird es noch "einige wenige" Jahre dauern.
Zum Vergrößern anklicken....
Exakt das ist bei uns das gleiche, liegt eventuell an der verwandten Branche ;)
Bei uns wird aber tatkräftig am Umzug in die Cloud gearbeitet, in einem Jahrzehnt soll alles dann in der Wolke sein, vieles neu entwickelt, aber auch vieles einfach nur von OnPrem in die Cloud, meist zusammen mit dem Update des Serverbetriebssystems darunter.
 
  • Gefällt mir
Reaktionen: mental.dIseASe und PHuV
SheepShaver schrieb:
Jetzt wuesst ich mal gerne, was fuer serverseitige Anwendungen ihr anwendet, die ins Dateisystem loggen und wie ihr dann Observability gewaehrleistet.
Zum Vergrößern anklicken....
Das funktioniert doch seit Anfängen der IT. 😉
SheepShaver schrieb:
Mal ganz davon abgesehen, dass ins Dateisystem loggen ein Performance-Killer ist. man sich um Dinge wie Log-Rotation kuemmern muss etc. Man stelle sich vor, jemand aktiviert Debug-Level, da kommen ganz schnell einige GB an Log-Daten zusammen.
Zum Vergrößern anklicken....
Nah, so viel Performance kostete das nun auch wieder nicht. Und Logrotate und Co. ist doch in Unix/Linux schon lange Standard.
 
  • Gefällt mir
Reaktionen: maxpayne80
PHuV schrieb:
Und gewachsene Strukturen kann man nicht einfach mal so abbrechen und neu machen, weil da ein Ratteschwanz an weiteren Anwendungen und Zeugs hängt.
Zum Vergrößern anklicken....
Kann man schon nur braucht es dafür sehr viele Entwickler und Zeit.
 
  • Gefällt mir
Reaktionen: PHuV
Was ein Glück, dass ich mich nicht mit so einem Kram zu tun habe. Bei uns ist alles containerisiert und läuft im K8S-Cöuster. Logs werden üblicherweise nach stdoiz geschrieben und mit Filebeat aufgesammelt und in Elastic reingeschmissen. Muss natürlich dazu sagen, dass wir hier wirklich kurzen Prozess gemacht haben und das Altsystem komplett durch eine Neuentwicklung ersetzt haben. Ja, das hat hohen zweistelligen Millionenbetrag und 4 Jahre Entwicklungszeit gekostet, aber Altsysteme, die „hysterisch“ gewachsen sind, sind irgendwann nicht mehr zu retten. Da breiten sich die Code-Smells aus wie ein Geschwür. Außerdem haben wir jetzt keinen Monolithen mehr, sondern sexy Microservices. 😉 Ja, ja, Hypetrain und so, aber es macht Spaß. Bin da jetzt etwas verwöhnt und könnte nicht wieder zurück.
 
Crowbar schrieb:
Chinesische Unternehmen sind gesetzlich verpflichtet, erkannte Sicherheitslücken innerhalb kurzer zeitlicher Fristen einem bestimmten Ministerium zu melden
Zum Vergrößern anklicken....
https://thehackernews.com/2021/12/china-suspends-deal-with-alibaba-for.html

Wenn man dem Reuters-Bericht glauben schenkt hat sich der Alibaba-Cloud-Sicherheitschef wirklich darüber hinausgesetzt.
Alles andere würde auch wenig Sinn machen, wieso sollte die chinesische Regierung einen 0 Day nach x Monaten veröffentlichen wenn er stattdessen gebunkert werden kann.
 
Puh, das klingt wenigstens so als hätten wir über Neujahr noch Ruhe. Ich dachte schon jetzt kommt der nächste Knaller und morgen früh geht's direkt wieder los und wir nehmen alles vom Netz bis es gepatcht wurde... Aber Zugriff auf die Config sollte von außen niemand haben, und aktiv genutzt wird JNDI vermutlich sowieso im nicht messbaren Bereich...
 
  • Gefällt mir
Reaktionen: foo_1337
Moin,
inwiefern ist das Ganze gefährlich wenn man keine Software nutzt die auf Github genannt wird? Läuft man, wenn man 2 alte Javaspiele die man nicht mehr startet, Gefahr angegriffen zu werden? Minecraft und eines welches mir grad nicht mehr einfällt. Sollte man die beiden lieber löschen? Benötigt werden die eh nicht mehr. Nicht dass der Uninstaller ebenfalls Log4j nutzt ;)

Danke
 
@DonSerious Software auf deinem Rechner war bei dieser Lücke zwar auch ein Problem aber kein wirklich grosses.

Solange du alle Updates einspielst (OS & Software) geht es dir gut - mehr kannst du eh nicht machen. Die Gefahren waren immer Serverseitig / Dienstseitig.

Das Internet ist voll von irgendwelchen Diensten die im Hintergrund für Normalmenschen unsichtbar agieren. Diese Dienste verwalten aber viele von deinen Daten.

Z.B. wenn du einen Fitness Tracker (oder beliebig andere APP) auf deinem Smartphone verwendest, dann sendet die Daten an irgendeinen Dienstleister (z.b. um deine Datenstände zu sichern oder zu synchronisieren). Wenn dort die Sicherheitslücke drin war, hätte man theoretisch (in der Regel gibt es da schon noch weitere Hürden) auf dieses System zugreifen, Code nachladen und z.b. alle Informationen über alle Nutzer auslesen können.

Private Computer sind da weniger ein Problem. Was eher problematisch sind sind IoT Geräte -> Staubsuager Roboter, Smarte Kühlschränke und Klos die selbstöndig twittern können. Oft bekommen die keine Updates mehr und von solchen Geräten gibts Millionen -> da würde ich prüfen ob du sowas im Haus rumstehen hast und beim Hersteller nach Updates prüfen.
 
Was ist eigentlich wenn man eine alte Minecraft Version auf der Platte rumliegen hat aber nicht startet oder generell log4j Binaries hat aus veralteten Programmen die man nicht nutzt bzw. diese nicht laufen? Sind die ein Risiko oder erst wenn das zugehörige Programm läuft? Möchte mir diesen log4j scan nicht runterladen. Aber ich habe minecraft vor Bekanntwerden der Lücke gelöscht. Nicht dass ungenutzte Datenreste ein Problem darstellen.

Gruss
 
Programme müssen ja wissen, wo ihre Bibliotheken liegen, damit sie diese zur Laufzeit einbinden und nutzen können. Andere Programme suchen nicht erst deinen ganzen Rechner nach Bibliotheken durch. Liefern also Programme wie Minecraft ihre eigenen Bibliotheken mit, so wissen auch nur sie davon, wo die liegen und kein anderes Programm nutzt diese dann, das würde ja sonst auch zu übelsten Versionskonflikten führen. Startest du das Programm nicht, liegen die also einfach nur rum und sind harmlos.

Eine Ausnahme bilden Standard-Bibliothekspfade wie z.B. jene des Betriebssystems, wo auch DirectX und sowas liegt. Was da drin liegt kann auch potentiell von allen Programmen gefunden und benutzt werden.
 
  • Gefällt mir
Reaktionen: DFFVB
DonSerious schrieb:
Was ist eigentlich wenn man eine alte Minecraft Version auf der Platte rumliegen hat aber nicht startet oder generell log4j Binaries hat aus veralteten Programmen die man nicht nutzt bzw. diese nicht laufen? Sind die ein Risiko oder erst wenn das zugehörige Programm läuft?
Zum Vergrößern anklicken....
Es ist erst dann ein Risiko, wenn Du eine Anwendung damit startest, die einen Port nach außen aufmacht und dann einen Kommunikation nach innen ermöglicht.
 
  • Gefällt mir
Reaktionen: ###Zaunpfahl###
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

SVΞN
News Sonntagsfrage: Eine Woche Log4Shell, was hat das für dich bedeutet?
11 12 13
Antworten
244
Aufrufe
39.411
chartmix
C
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz