Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
NewsSonntagsfrage: Eine Woche Log4Shell, was hat das für dich bedeutet?
Seit einer Woche gefährdet die gravierende Sicherheitslücke CVE-2021-44228 alias „Log4Shell“ im Logging-Framework log4j für Java die IT-Systeme in aller Welt unter anderem mit Remote Code Executions und Ransomware. In der heutigen Ausgabe der „Sonntagsfrage“ möchte die Redaktion von euch wissen, ob ihr auch betroffen seid.
Diverse SoftwareHersteller angeschrieben und die Situation klären plus einige Services zur Sicherheit offline genommen. Aber die waren bzw sind nicht geschäftskritisch.
Mir ist das Thema immer noch zu kompliziert beschrieben.
Ich habe keine Java Laufzeitumgebung installiert und ob bei irgendwelchen Programmen Java integriert ist, kann ich als Endnutzer nicht einsehen.
Daher kann ich gar nicht abwägen, ob diese Lücke mich betrifft oder nicht.
Hier sollte man vielleicht mal normale Menschen abholen und das Problem in normaler Sprache erklären und zeigen wo das zum Problem wird.
Da ich auch gar nicht in der Lage bin, überhaupt etwas bei mir direkt ändern zu können, lässt mich das kalt. Ich installiere einfach nur regelmäßig Sicherheitsupdates und muß darauf vertrauen, dass der Software Hersteller das Problem angeht.
Zum Glück war kein Produkt um das ich mich kümmer betroffen und ich wurde bisher nicht als Zwangsverstärkung rekrutiert. Das Netzwerk & Security Team derweil hat's hart getroffen.
Aber darf auch mal wen anderes Treffen, nachdem erst im Frühjahr und dann nochmal im Herbst bei allen Kunden mit onpremise Exchange die CU-Updates in kurzer Zeit durchgeprügelt werden mussten...
Im Privaten hatte ich dann noch geguckt ob Nextcloud betroffen ist und gut war.
Diese paketbasierten Abhängigkeiten sind ein Schritt in die falsche Richtung. Es wird Quellcode verwendet, der nie einer Sicherheitsprüfung unterzogen wurde. Das war früher undenkbar.
Ich habe erst kürzlich wieder ein npm install gemacht. Für EINE Software, die wir brauchen, wurden 1200 Pakete weitere nachgeladen und diesen Quellcode führe ich auf hoch-vertraulichen Systemen aus. In der Console sehe ich wie Leute nach Geld betteln und kritische Sicherheitsprobleme gemeldet werden. In der Dimension, wie das heute stattfindet, ist das ein desaster.
Ich hoffe, dass endlich mal ein umdenken in der Softwareentwicklung stattfindet. Log4j ist nur die Spitze des Eisbergs.
Als unbetroffener: Erheiterung ob der Überraschung bei vielen.
Unsere Software ist meistens ein Dreckspfuhl, es braucht aber immer nur solche Situationen die es aufzeigen. Aber wie schon bei der Heartbleed Lücke in OpenSSL, wird dies einen kurzen Aufschrei geben, man müsse doch Projekte finanzieren bla blubber sülz und in einigen Jahren haben wir dann den nächsten big bug. Ist im übrigen egal ob Open Source oder Proprietär, da liegen überall offene Wunden tief im Code versteckt.
Mir tun ja nur die Menschen leid die da nun ihr Wochende opfern müssen und auf die alles abgewälzt wird.
Ich hab jetzt irgendwie nur sozusagen privat gedacht und somit dann wohl falsch abgestimmt.
Privat luppt die Maschine. Auf der Arbeit werden aber teilweise Dinge vorübergehend abgeschaltet (die für meine Arbeit gerade aber nur bedingt relevant sind) und insbesondere Kollegen haben es gerade schwer, ihren Aufgaben nachzukommen, weil von verantwortlicher Seite die Software-Schotten dicht gemacht wurden.
Es wird unter Hochdruck an einer Lösung gearbeitet...
Die Software, die davon betroffen ist, hatten die Kollegen in der Abteilung am Montag bereits in Eigeninitiative gefixt.
Ansonsten von der It-Security erstmal nix.
Es brannte am Montag fröhlich vor sich hin.
Es brannte am Dienstag fröhlich hin.
(Hinter den Kulissen war sicherlich aber die Hölle los)
Am Mittwoch sollte dann plötzlich eine Besprechung stattfinden wo einem die Lücke erklärt wurde und man Software nennen sollte, die potentiell davon betroffen sein könnte. Leider hatte ich Mittwoch und Donnerstag keine Zeit.
Jetzt heißt es bei uns wohl: die It-Security scannt die Festplatten aller Rechner und wenn sie Dateien mit Log4J im Dateinamen finden, melden sie sich.
Ich hab mal gescannt und habe in diversen node_modules Ordnern diese Datei mit .js hinten dran gefunden . Außerdem bei meinen installierten Jetbrains Produkten.
Bin ja mal gespannt was es das noch gibt. Unser Software-Stack setzt u.a. C#. Also ist mir das alles ziemlich egal.
Diese paketbasierten Abhängigkeiten sind ein Schritt in die falsche Richtung. Es wird Quellcode verwendet, der nie einer Sicherheitsprüfung unterzogen wurde. Das war früher undenkbar.
Gestern den Workaround fürs vCenter eingespielt und in den Urlaub verschwunden. Sollen sich die Kollegen die nächste Woche noch arbeiten müssen damit rumärgern
Zum Glück nutze ich so wenig Javakrams wie nur irgendwie möglich.
Auf meinem vServer musste daher nur eine Software geupdatet werden (Openfire).
Aber auch da muss langsam was ordentliches her.
Enigma schrieb:
Ich habe erst kürzlich wieder ein npm install gemacht. Für EINE Software, die wir brauchen, wurden 1200 Pakete weitere nachgeladen und diesen Quellcode führe ich auf hoch-vertraulichen Systemen aus. In der Console sehe ich wie Leute nach Geld betteln und kritische Sicherheitsprobleme gemeldet werden. In der Dimension, wie das heute stattfindet, ist das ein desaster.
Nicht betroffen bist du nur, wenn deine Applikation keine jms appender nutzt. Auf Nummer sicher ist man, wenn man die jms appender Klasse via zip aus dem jar entfernt. Haben wir grundsätzlich so gemacht (jms appender aus l4j1.x und jndi klasse aus l4j 2.x). Leider hilft das entfernen der jndi Klasse auch nicht immer*, wie man bei 2.17 gelernt hat.
* Nicht immer bedeutet jedoch sehr exotische Konstellationen, die in real world zum Glück sehr selten vorkommen.
