Ein Log ist eine Tagebuchaufzeichnung von Aktivitäten. Z.B. loggt das Board hier, wann du zuletzt Online warst. Jemand hielt es für eine gute Idee per Standard zu erlauben, dass der "Logger" nicht nur Text abspeichert, was man erwarten würde, sondern beliebige Computerprogramme (bzw. Code) aus dem Internet runterlädt und ausführt.Mister79 schrieb:
News Log4Shell: Sicherheitslücke in log4j für Java hält die IT-Welt in Atem
- Ersteller Jan
- Erstellt am
- Zur News: Log4Shell: Sicherheitslücke in log4j für Java hält die IT-Welt in Atem
- Registriert
- Dez. 2011
- Beiträge
- 6.204
Ok, da war ich etwas zu generalisierend, das stimmt. Ich meinte damit eher, dass man als normaler Nutzer in den meisten Fällen nicht wissen kann, was genau die Software als Logger einsetzt. Wenn man sich vorher schlau macht, ob die Software betroffen ist, dann ist das natürlich auch eine Lösung, aber dann hat sich die Frage nach der Gefährdung ja eh erledigt.MadCat[me] schrieb:
###Zaunpfahl###
Lt. Commander
- Registriert
- Jan. 2010
- Beiträge
- 1.597
Jo, also ganz kurz.Mister79 schrieb:
Ist eine library um Daten zu loggen. zb. User mit user agent xyz hat um 12:00 Uhr blub gemacht.
Das wird dann zb in eine Datei oder sonst wo hingeschrieben.
Jetzt hat log4j aber ne super tolle funktion indem es einen log interpretieren kann und dann etwas ausführt.
Das ist das gefährliche.
Jetzt schickst du eine Datei im HTTP Protokoll geschrieben an den Service. Als user agent schreibst: lade x herunter und führe es aus. Log4j bekommt das und macht das wirklich. Kabumm.
Könntest du ggf. diesen Satz ein wenig näher erläutern?ComputerJunge schrieb:
Das Aufrufen ist "erst" ein Problem, wenn mein Server JNDI-Anfrage erhält oder? Solange mein Server keine solche Anfrage erhält lädt und führt er auch keinen Code aus.
maxpayne80
Commander
- Registriert
- Nov. 2006
- Beiträge
- 2.332
Ja, hat heute bei der Arbeit auch gut für Beschäftigung gesorgt, und ja, Spring-Boot-Starter ist in der Tat nervig,
da hier eine gepatchte Variante ( = die 2.15.0 mitbringt ) erst am 23.12. erscheinen soll.
Muss man also in so einer Umgebung selber Hand anlegen ... wie potentiell gefährlich und irgendwie übers Ziel hinaus dieser Mechanismus eines Loggers ist, remote Code zu laden und auszuführen - nun ja, darüber braucht man nicht weiter sprechen.
@lugge
Hast du den Thread / das Forum verfehlt? Scheint mir so ...
da hier eine gepatchte Variante ( = die 2.15.0 mitbringt ) erst am 23.12. erscheinen soll.
Muss man also in so einer Umgebung selber Hand anlegen ... wie potentiell gefährlich und irgendwie übers Ziel hinaus dieser Mechanismus eines Loggers ist, remote Code zu laden und auszuführen - nun ja, darüber braucht man nicht weiter sprechen.
@lugge
Hast du den Thread / das Forum verfehlt? Scheint mir so ...
Tanzmusikus
Fleet Admiral
- Registriert
- Aug. 2010
- Beiträge
- 10.175
Malaclypse17 schrieb:
Habe gerade mal diesen Scanner über einige meiner Partitionen laufen lassen.Falc410 schrieb:
local-log4j-vuln-scanner.exe C: D: E: usw.Holla, da kommt Einiges zum Vorschein: MediathekView (Java-basierend nutzt log4j.jar), CD von Röntgenaufnahmen o.ä. (nutzt log4j.jar), Slay the Spire "desktop-1.0.jar" -> besitzt 3 "JndiManager*.class"es.
Jetzt sollte ich vielleicht besser MediathekViewWeb.de (falls die überhaupt sicher davor ist) statt der Java-basierenden App nutzen.
Wäre der Scanner nicht etwas für alle Windows-Nutzer? 😉
Also jedenfalls für die, die eine CLI/CMD bedienen können.
Grüße
Edit: @Jan -> Vielleicht könnte man dieses Tool prüfen & ggf. für alle CB-Leser verlinken o.s.ä.?
Zuletzt bearbeitet:
kernel panic
Lt. Commander
- Registriert
- Jan. 2010
- Beiträge
- 2.023
Wie verhält sich die Lücke eigentlich, wenn sich der Zielserver hinter einem Reverse Proxy befindet?
WilloX1980
Ensign
- Registriert
- Sep. 2015
- Beiträge
- 223
Jupp...hab das ganze "Gäste Wlan" darüber aufgebaut (in einem kleinen Hotel)...ist am WE komplett weggeschmiert...kommste Montag zur arbeit und alles läuft nicht mehr so wie es soll!^^...erste Idee war das Chef wieder irgendwas gefummelt hat..."Ausnahmsweise" war Er mal nicht Schuldig!°°floh667 schrieb:
Hab heute Früh erstmal alles bis auf den Rezeptions Rechner offline genommen, was "Gäste Wlan" angeht.
Lustig fand ich das "Apple" Geräte auf der Haupt Seite von "Apple" gelandet sind und nicht auf der "Vorschaltseite" vom Hotel wo man den "Wlan" Nutzungs Bedingungen vom Hotel zustimmen muß um online zu sein, und weitergeleitet wird, waren dann aber online!!!...einfach so???
Android hatte zwar die Vorschalt Seite ist aber in einem "service unavailable" Error gelandet.
Und ich war so zufrieden mit "Ubiquiti Unifi"...naja irgendwas ist halt immer!...hab schon Kaffee aufgesetzt...
Peace!
Edit\ ist gefiXt____Big Thx@floh667
Zuletzt bearbeitet:
Das finde ich etwas übertrieben. Lokale Anwendungen können natürlich auch zum Problem werden, wenn sie Inhalte, die von anderen Nutzern erstellt werden, herunterladen. Bei MediathekView müsste schon jemand eine der Online Datenbanken manipulieren, damit das zum Problem wird.Tanzmusikus schrieb:
- Registriert
- Sep. 2018
- Beiträge
- 3.448
Ich kann es gerne versuchen, aber wichtig: Ich bin bei Security auch nur noch "fortgeschrittener Laie!" und meinen praktischen Java-Fähigkeiten sind mittlerweile leider auch antik. Also, daher bitte alles mit dem notwendigen Vorbehalt!paokara schrieb:
Ja, wenn Dein Logging grundsätzlich keinerlei freie Nutzereingaben (oder auf anderen Wegen entgegengenommene beliebige Stringliterale) ins LogFile schreibt, besteht keine unmittelbare Gefahr. Diese Sicht kann aber schon wieder veraltet sein.
Ich wollte mich auf die Aussage in der News "Auch nicht direkt mit dem Internet verbundene Systeme sind nicht vor einer Attacke gefeit, weil schon eine Anfrage über einen kompromittierten Rechner ausreicht, um ein weiteres System zu infiltrieren" beziehen. Das klang so ein wenig nach Quarantäne, von wegen wenn dein PC keinen Kontakt nach außen hat infiziert er sich auch nicht. Aber ja, der "Witz" war wohl einfach nicht so tollmaxpayne80 schrieb:
Habe in diversen Beiträgen gelesen das Apple auch betroffen sein soll, ich habe mich nur gefragt wieso die irgend eine Art von Java Software betreiben sollten... .
Ach übrigens falls das noch niemanden aufgefallen ist, ich persönliche schätze das min. 50% aller Android Apps log4j nutzen wird ^^ das scheint entweder keinem aufgefallen sein, oder es will niemanden auffallen.
Ach übrigens falls das noch niemanden aufgefallen ist, ich persönliche schätze das min. 50% aller Android Apps log4j nutzen wird ^^ das scheint entweder keinem aufgefallen sein, oder es will niemanden auffallen.
- Registriert
- Sep. 2018
- Beiträge
- 3.448
Vermutung meinerseits: Auf den Servern, z. B. im Kontext der iCloud.mrhanky01 schrieb:
BrollyLSSJ
Vice Admiral
- Registriert
- Juni 2007
- Beiträge
- 6.220
Wir haben in der Firma auch schon alle VMware vCenter Server gepatcht, die wir patchen durften. Bei einigen Kunden muss man halt erst eine Downtime genehmigt bekommen.
Nexialist.
Commander
- Registriert
- Feb. 2006
- Beiträge
- 2.738
Jetzt im Maven-POM-File log4j schnell auf 2.15.0 setzen 
Soweit ich es im Studium mitbekommen habe ist log4j ein weit-verbreiterter Standard-Logger für Java, also da sollten die betroffenen jetzt schnell reagieren. Insbesondere Logger-libraries können da viele Daten preisgeben.
Soweit ich es im Studium mitbekommen habe ist log4j ein weit-verbreiterter Standard-Logger für Java, also da sollten die betroffenen jetzt schnell reagieren. Insbesondere Logger-libraries können da viele Daten preisgeben.
- Registriert
- Juli 2021
- Beiträge
- 2.798
Nun, da die wenigsten Entwickler wirklich "Sicherheitsexperten" sind und man ohnehin heute unter ständigem Zeitdruck steht - dank immer kürzere Produktzyklen, BWL-Absolventen, die Nullplan haben, aber mit Buzzwords wie KI , Machine Learning usw. um sich werfen und geizigen Kunden - und man sich bei solchen Sachen wie Penetrationstests der Software auch Gedanken machen muss um mögliche Angriffsvektoren, fehlt gelinde gesagt oft einfach die Zeit aber auch die "Kreativität" und das Wissen.Conqi schrieb:
Wobei ich mir hier bei der Sicherheitslücke schon wieder die Hände über den Kopf zusammen schlage und mir denke: Habt ihr Trottel eigentlich die einfachste Grundlage der Sicherheit vergessen? SOBALD ETWAS VON AUSSEN KOMMT HAT MAN DEM ZEUG NICHT ZU VERTRAUEN!
Die Lücke als ganzes würde sich bereits drastisch entschärfen lassen, wenn man die Eingaben der User prüft und in dem Fall mit einer White-/Allowedlist.
Der Fehler, die Sicherheitslücke liegt in dem Fall nicht alleine in log4j, sondern auch in der teilweise schon unbedachten Nutzung der Funktion.
Wenn man hier nun wirklich "Strafen" einführen würde, wenn Entwickler ein Fehler in der Software einbauen oder eine Sicherheitslücke, dann würde über kurz oder lang sich jede Firma aus dieser Branche zurückziehen und es würde auch keiner mehr heute Entwickler werden, weil man quasi jeder Zeit mit massiven Schadensersatzforderungen - gerade in den USA - als auch Strafen zurechnen hätte und keine Firma geht so ein Risiko ein.Conqi schrieb:
Ebenso würde OpenSource vollständig aussterben, denn keiner wirklich keiner würde noch etwas in dem Bereich machen, weil man ohne finanzielle Absicherung sich über kurz oder lang das Leben versaut.
So ärgerlich und so verständlich der Frust darüber ist, dass die "Qualität nachlässt" - was eher gefühlt so ist, pro 1000 Zeilen Code hat die Fehlerrate eigentlich nicht wirklich zu genommen.
Dass man auf fertige Codetemplates, Bibliothek oder Frameworks zurückgreift, ist eigentlich sogar zu begrüßen, weil man damit in der Regel eine wesentlich besser getestete Codebasis schafft, als wenn man alles selbst programmiert.sikarr schrieb:
Klar, ich kenne so manche Kollegen, die nun wieder behaupten werden, dass wenn sie ihren Code selbst schreiben, wesentlich besseren Code produzieren und das weniger Sicherheitslücken hat usw. Das ist aber in der Regel falsch!
Das Problem ist allgemein eher die immer komplexer werdende Welt der Softwareentwicklung und allgemein der Zeitdruck. Es gibt heute - auch durch die BWLer in den Unternehmen gefordert - sehr viele eher pragmatische Entwickler, die "rohe Prototypen" als produktiven Code verwenden - also der erste Lösungsweg, um überhaupt eine Funktion zulaufen zu bekommen. Wenn es dann geht, geht man direkt an die nächste Baustelle. Ordentliches Refactoring, Umstrukturierung oder die Suche nach einem besseren Code? In der Regel fehlanzeige.
Dazu kommt auch, dass "Test-Diven-Development" immer noch ein Fremdwort für so manche Entwickler ist. Genau so wird sich um Sicherheit kaum Gedanken gemacht - bei letzteren erwische ich mich auch manchmal, dass ich Penetrationstests und Co nicht durchführe, okay aber dafür achte ich konstant darauf, dass ich nichts vertraue, was von außerhalb kommt und da nichts ungefiltert ins System lasse.
Ja, das läuft es, aber es wird auch immer komplizierter das alles zu überblicken. Ich kann da ein Liedchen von singen.Conqi schrieb:
Und da frag ich mich, was die Entwickler der Software gemacht haben und ob die echt ungefiltert da einige Sachen einfach weiter geben.MadCat[me] schrieb:
Bei so einer Funktion würde ich persönlich die Parameter nur selbst zusammen gebaut übergeben und NIEMALS von außen und das scheinbar auch noch ungefiltert.
Aber okay, was wundere ich mich da. ... viele Entwickler sind ja bis heute zu dumm "Prepared Statements" für SQL zu verwenden.
- Registriert
- Sep. 2018
- Beiträge
- 3.448
Der ist gut. Letzte Zahlen habe ich nicht, aber ich denke, es ist DER Logger in Enterprise Java.Nexialist. schrieb:
Sas87
Commander
- Registriert
- Juli 2013
- Beiträge
- 2.219
Ging mir genauso.Idon schrieb:Die News bringt einem Laien wie mir nichts.
Was muss ich als konkreter User, der das Internet zum Zocken, Trollen und Pornosschauen nutzt, beachten?
Oder kann mir das alles egal sein, solange ich keine eigenen Server hoste?
Man wollte den normalen Nutzer wohl nicht zu viel beruhigen.
Es scheint sich bei dem Problem aber ausschliesslich um Server Software zu handeln.
Zitat:
"Die Abkürzung «log4j» steht für «Logging for Java». Dabei handelt es sich um eine Server-Software, die Anwendungen in der Programmiersprache Java beim Betrieb hilft."
https://www.watson.ch/digital/schwe...r-das-ganze-internet-so-gefaehrlich-ist-log4j
Ein simpler Satz wie dieser im Artikel und wir hätten es alle verstanden.
Man muss dann wohl nur aufpassen, dass man sich über die kompromittierten Server nix einfängt.
Das eigentliche Problem ist aber Sache der Server Administratoren.
Also hoffen wir mal, dass die meisten ihren Job gut machen.
