News Log4Shell: Sicherheitslücke in log4j für Java hält die IT-Welt in Atem

[m4c1990]

Ich hatte mal ein frisch installiertes Windows mit diversen Programmen, darunter JRE.
Bei kurzer Google Bilder Suche, ploppt plötzlich Java Fenster auf und Zack, hatte ich einen Erpressungstrojaner drauf.
Seit dem meide ich Java wie die Pest

 

[foo_1337]

Wie immer bei Java... Unverständnis Fehlinterpretationen und eine gehörige Portion FUD dazu. Wieso schreibt man hier überhaupt mit, wenn man nicht das geringste zum Thema beitragen kann?

 

[Nolag]

Bei kurzer Google Bilder Suche, ploppt plötzlich Java Fenster auf und Zack, hatte ich einen Erpressungstrojaner drauf.
Seit dem meide ich Java wie die Pest

Das problematische Java Plugin wurde 2016 entfernt und wird seitdem nicht mehr mit Java ausgeliefert. Ich habe bestimmt 30 verschiedene Java VMs auf meinem Rechner. Das ist völlig unproblematisch. Wer damit Codeausführung hinbekommt, der hat es auch verdient und könnte genauso gut auch den MS JScript Interpreter oder die Powershell verwenden.

 

[meymo]

Jetzt muss ich doch auch mal meinen Senf dazu geben:
Weist du was mich als professionellen Java Entwickler am meisten an dieser ganzen Geschichte stört?
Warum gitb es diese Lücke im log4j? Weil log4j wenn du die richtigen Schlüsselwörter in dein Log schreibst diese nicht logt, sondern wild Daten aus dem Netwzwerk lädt und diese statdessen logt...

Wer braucht so etwas? Von allen Nutzern von log4j ist das doch wenn überhaupt <1% die sowas brauchen, aber nein das muss eingebaut werden weil ähh kann man sich auf die Schulter klopfen, dass man ein tolles Feature eingebaut hat. Dafür hat man eine Logging-Library die unter bestimmten Bedingungen wild Sachen aus dem Netz zieht. Sowas hat absolut niemand auf'm Schirm, wenn manlogt, weil es einfach so weit vom Kern des Loggens ist, das man auf den Gedanken gar nicht erst kommt.

Für mich persönlich hat sich log4j damit abgeschaft. So einen fetten Haufen Code brauch ich einfach nicht nur um ein paar Logs zu schreiben und überhaupt die log4j Entwickler scheinen sich ja auch nicht der Securityimplications bewusst zu sein, wenn sie wild im Netzrumfunken, wer weiß was für Perlen es da noch in der lib gibt...

 

[borizb]

Wir haben unser Confluence vom Netz genommen, das ist unser Wiki Ersatz innerhalb der
Firma. Übers Intranet gehts noch bzw. lokal, aber vom Handy etc. kommt man nimmer rein.
Und viele dachten zuletzt noch, dass die größte Schwachstelle für Ihre Sicherheit Intel CPUs
wären. Hardware und Software angreifbar ist natürlich die schlechtmöglichste Kombination.

 

[foo_1337]

Weist du was mich als professionellen Java Entwickler am meisten an dieser ganzen Geschichte stört?
(...)So einen fetten Haufen Code brauch ich einfach nicht nur um ein paar Logs zu schreiben und überhaupt die log4j Entwickler scheinen sich ja auch nicht der Securityimplications bewusst zu sein, wenn sie wild im Netzrumfunken, wer weiß was für Perlen es da noch in der lib gibt...

Gegenfrage: Wenn du die Funktionen ohnehin nicht nutzt: Wieso benutzt du als professioneller Java Entwickler dann überhaupt log4j? Dem Entwickler vorwürfe machen und sich selbst keine Gedanken machen. Finde den Fehler.

 

[Marco01_809]

Genau deswegen sollte man auf native Anwendungen setzen statt Java zu nutzen. Ich sage schon seit Jahren, dass man im Serverbereich von Java weg kommen muss. Das war früher mal wichtig mittlerweile gibt es bessere Anwendungen vor allem sicherer und schneller.

Das musst du aber besser begründen. Java hat wenig Schuld an der Lücke. Die Funktion wurde in log4j absichtlich implementiert und funktionierte wie gewollt. Es handelte sich scheinbar um einen Denkfehler bei den Maintainer die den Patch angenommen haben, die nicht realisierten dass dies auch für Nutzereingaben die in log messages landen funktioniert. Sowas kann in jeder Sprache passieren.

Was in Java hingegen nicht passieren kann sind memory safety bugs wie in C/C++ die sehr häufig zu RCEs führen und die kommen zahlenmäßig deutlich häufiger vor als sowas hier!

Ach ja, das geliebte "Open Source ist sicher, weil jeder drüber schaut".

Zeig mir mal eine gängige closed source logging library die ich in meinen Java-Anwendungen einbinden kann. Ach gibt es gar nicht

Open-Source ist Fluch und Segen zugleich.
Gratis aber doch nicht ohne Kosten verbunden.

Ganz genau. Auch Unternehmen können sich kostenlos bedienen, aber müssen dann halt auch die Konsequenzen ausbaden wenn sie nicht selber in Audits investieren.

Die Log4j-Entwickler sind den Nutzern nichts schuldig. Gleichzeitig kann ich aber verstehen dass einige Nutzer sauer sind, denn diese Lookup-Funktion ist wirklich zutiefst bescheuert.

 

[foo_1337]

Wir haben unser Confluence vom Netz genommen

Ihr hättet auch einfach den Workaround nutzen können Nutzt Confluence nicht wie jira eh nur log4j 1.x und ist dann nur verwundbar wenn man nen JMS Appender (was kaum jemand macht) nutzt?

 

[borizb]

Ihr hättet auch einfach den Workaround nutzen können Nutzt Confluence nicht wie jira eh nur log4j 1.x und ist dann nur verwundbar wenn man nen JMS Appender (was kaum jemand macht) nutzt?

Die IT Chefin hats weil es unklar war vom Netz genommen, die schaut das die Tage tiefer an.
Ich steck nicht so tief drin dass ichs beurteilen kann. Better safe than sorry denke ich

 

[ComputerJunge]

Die IT Chefin hats weil es unklar war vom Netz genommen,

Du hast eine gute IT-Chefin. :-)

 

[borizb]

Du hast eine gute IT-Chefin. :-)

Die gesamte Firma bekommt jedes Jahr mindestens eine Schulung für IT Security allein und
dieses Jahr haben wir eine Firma engagiert, die uns attackiert hat. Andere Firmen bei uns
in der Region wurden in den Jahren zuvor mit Verschlüsselungstrojanern angegriffen, seit
dem achtet die Führungsetage da penibel drauf dass wir da keine Risiken eingehen.

 

[foo_1337]

Wer noch nicht weiß, ob genutzte Applikationen betroffen sind, hier eine (unvollständige!! auch wenn sie lang ist) Liste: https://github.com/NCSC-NL/log4shell/tree/main/software
@Jan vielleicht magst du die ja noch in deinem Artikel unterbringen, die ist etwas übersichtlicher als die bereits verlinkte

 

[ComputerJunge]

Jo, alles voll mit technologischen "Gatekeepern", das ist ein echter Einschlag.

Bisher ist mein Eindruck allerdings, dass in der Breite keine Panik ausbricht, sondern definierte, sinnvolle Maßnahmen(kataloge) abgearbeitet werden. Das ist gut. Es wird zwar noch die ein oder andere Überraschung geben, aber bisher scheint die IT-Welt robust und vorbereitet. 👍

 

[Marco01_809]

@ComputerJunge Gefühlt war die Panik nach Heartbleed auch größer. Denke mittlerweile sind wir geübter darin mit solchen Weltuntergangs-Lücken umzugehen.

Vielleicht liegt es auch daran dass die Mitigations so einfach umsetzbar sind. Da die Funktion vollkommen unbekannt war und so gut wie von niemandem genutzt wurde, kann man betroffene Anwendungen abdichten in dem man die Funktion einfach per Argument (-Dlog4j2.formatMsgNoLookups=true) abschaltet, oder notfalls die JndiLookup.class aus den jar-Dateien löscht (die effektiv ja nur zip-Dateien sind). Man ist also nichtmal darauf angewiesen auf ein Update des Anbieters zu warten. Noch einfacher geht es kaum.

 

[ComputerJunge]

@Marco01_809
Yep, die Mitigations sind einfach und wirken. Mein Punkt ist, dass mir "die IT" in der Breite einen gut vorbereiteten und aufgestellten Eindruck macht. Da hat sich doch einiges getan.

Aber es wird noch "rumpeln" - aufgrund der Verbreitung werden genug Angriffspunkte so spät geschlossen werden, dass die Grundsteinlegung für mindestens einen zukünftigen "Großangriff" wohl schon vordem Abschluss steht. Doch meine begründete Hoffnung ist, dass dieser dann eher "poly-endemischen" Charakter haben könnte. Eier werden gerade aber sicher viele gelegt.

 

[TomH22]

Für mich persönlich hat sich log4j damit abgeschaft. So einen fetten Haufen Code brauch ich einfach nicht nur um ein paar Logs zu schreiben und überhaupt die log4j Entwickler scheinen sich ja auch nicht der Securityimplications bewusst zu sein, wenn sie wild im Netzrumfunken, wer weiß was für Perlen es da noch in der lib gibt...

Irgendwie habe ich da gerade ein Dejavu; vor 2-3 Jahren fing bei uns ein Entwicklunggsteam an, Nlog zu nutzen, das ist die .net Entsprechung von log4j. Gleichzeitig war die Idee der Entwickler alles und jedes zu loggen, in der Hoffnung, später beim Kunden, wo man oft nicht debuggen kann, Diagnose Informationen zu bekommen. Logging Systeme wie NLog haben ja umfangreiche Filterfunktionen, da kann man im Normalbetrieb unerwünschte Einträge unterdrücken um ein übermäßiges Logging zu vermeiden.
Soweit so gut. Das erste Problem was wir bekamen, wat dass der Log Thread komplett einen CPU Kern für sich brauchte. Dann haben sich unsere Consultants, die die Software beim Kunden einführen, beschwert das man mit dem Wust an Logginginformationen nichts anfangen konnte, egal welchen Loglevel man einstellte. Entweder hatte man zu wenig oder gleich zu viele Informationen. Die Consultants brauchen verständliche Logging Infos zu gängigen Konfigurationsfehlern, aber nicht „Class xyz instantiated“.

Das rework des Loggingsystems füllte zeitweise mehr als 50% des Backlogs. Was ich damit sagen will: Diese Loggingssysteme verleiten Entwickler dazu, sie extensiv zu nutzen, was natürlich auch zu weiteren Feature Requests führt, was sie weiter aufbläst und, wie man jetzt hier sieht, letztendlich auch dazu führt, das irgendwann was echt „Dummes“ eingebaut wird. Gleichzeitig ist der praktische Nutzwert oft zweifelhaft und die ursprünglich erhoffte Produktivitätssteigerung tritt nicht ein.

Einen ähnlichen Effekt haben wir zur Zeit bei Azure Log Analytics. Wir hatten schon Anwendungen, wo das logging mehr gekostet hat, als der eigentliche Application Service.

Ganz genau. Auch Unternehmen können sich kostenlos bedienen, aber müssen dann halt auch die Konsequenzen ausbaden wenn sie nicht selber in Audits investieren.

Bei der Menge an Third-Party Bibliotheken, die man heute einsetzt, ist das nur realistisch kaum zu leisten. Mir ist sehr bewusst, dass das ein echtes Problem darstellt. Wie man am vorliegenden Beispiel sieht, hilft auch weite Verbreitung einer Software nichts. Bzw. sie hilft dahingehend, dass das Probleme schon früher oder später von irgendjemandem gefunden werden, und sie dann auch öffentlich werden. In einem Außenseiter Tool kann eine Lücke noch viel länger unentdeckt bleiben.

 

[Crowbar]

Die Log4j-Entwickler sind den Nutzern nichts schuldig. Gleichzeitig kann ich aber verstehen dass einige Nutzer sauer sind, denn diese Lookup-Funktion ist wirklich zutiefst bescheuert.

Die Chronologie der Ereignisse lässt lediglich zwei Schlussfolgerungen zu: Entweder haben die Entwickler das gravierende Gefährdungsrisiko für Anwender selbst nicht erkannt oder sie haben die Nutzer ihrer Bibliothek bzw. deren Anwender jahrelang sehenden Auges in den Untergang reiten sehen und dies schlicht ignoriert.

Beide Möglichkeiten werfen kein gutes Licht auf die Entwickler und Mitleid und Verständnis sind fehl am Platze.

 

[Sturmwind80]

Gibt es schon Programme mit denen man unter Windows 10 und MS Server 2019 die betroffenen Anwendungen finden kann? Bisher habe ich nur Anwendungen für Linux gefunden.

 

[Snowi]

Andere Firmen bei uns
in der Region wurden in den Jahren zuvor mit Verschlüsselungstrojanern angegriffen, seit
dem achtet die Führungsetage da penibel drauf dass wir da keine Risiken eingehen.

Es gibt sie also doch - Firmen die Logisch handeln und versuchen, sich auf die Zukunft vorzubereiten
Meinen Respekt an die Firmenleitung, zumindest in diesem Aspekt scheinen sie rational auf die Menschen zu hören, die sich auskennen. Denn das alles wird nicht besser, sondern nur schlechter in Zukunft. Das Geschäftsmodell ist entdeckt, und es verspricht viel.

 

[Fenvarien]

Ist eigentlich schon etwas zur Javascript Variante Log4js bekannt? Dazu liest man nichts, was mich leider nicht wirklich beruhigt.