ComputerBase Menü
Aktuelles

News Sonntagsfrage: Eine Woche Log4Shell, was hat das für dich bedeutet?

xexex schrieb:
Ganz einfach, weil solche Sachen früher auf Java gesetzt haben, JRE vorausgesetzt haben, oder Teile davon irgendwo verwendet hatten.
Zum Vergrößern anklicken....
Um die es hier aber halt kaum geht... es geht um server-side kram. Insbesondere um den, der public Reachable ist. Irgendein IPMI/IDRAC/iLO juckt in dem Fall schlciht niemanden.

xexex schrieb:
Jo, alles stark mit Java verzahnte Produkte, die zum Glück bis auf eine Ausnahme nirgendwo bei unseren Kunden im Einsatz sind.
Zum Vergrößern anklicken....
Siehe oben, weil es bei euren Kunden nicht im Einsatz ist, tust du so als gäbe es das kaum wo. Genauso wie du versuchst den Rückgang von Javabasierten Clientapps auf die Serverseite zu projezieren. Und beides ist schlicht Bullshit. Tut mir leid.
Alleine der Siegeszug von elastic die letzten Jahre sollte dir hier die Augen öffnen.
 
  • Gefällt mir
Reaktionen: poly123
foo_1337 schrieb:
Genauso wie du versuchst den Rückgang von Javabasierten Clientapps auf die Serverseite zu projezieren. Und beides ist schlicht Bullshit.
Zum Vergrößern anklicken....
In deinem Umfeld vielleicht, in meinem nicht. Alles was früher noch auf Java gesetzt hat, hat sich längst davon verabschiedet. Wir können es ja mal anders versuchen...
1639926309660.png

https://webtechsurvey.com/technology/jboss-application-server

Man sollte nicht immer seine eigenen Erfahrungen, nur weil man gerade zufällig stark in solche Lösungen involviert ist, auf die Welt übertragen.
 
Wie kann man nur so ignorant sein? Nur weil du nicht in dieser Welt unterwegs bist und jetzt mit Statistiken kommst, die Milliarden godaddy & Co 0815 minisites mit im Index haben?
Hier mal ein kleiner Realitätsabgleich der großen Portale:
1639926498973.png

Und ungefähr so ist es halt grundsätzlich. Fast alles, was etwas auf sich hält, hat irgendwo Java im Einsatz. Und selbst wenn der vordere Teil aus JS, Php & Co besteht, ist meinst ein elastic oder solr dabei. Und die sind in was geschrieben? Richtig: Java. In dieser Welt kommst du nach wie vor selten an Java vorbei und das ist auch nicht schlimm.
Du kannst hier jetzt noch irgendwelches SaaS Zeug wir Service Now, Salesforce dazu nehmen, oder Streaming wie Spotify oder Netflix. Sie alle nutzen irgendwo java. Und wenn wir dann in Richtung Big Data schauen, wirst du auch eine gewisse Java Dominanz vorfinden. Hi Hadoop.

Und auch bei Github ist Java nach wie vor auf Platz 3, hinter JavaScript (was gern im Webapp Bereich in Kombination mit Java genutzt wird, leider wird hier nicht Unterschieden ob FE oder BE) und Python.

xexex schrieb:
Man sollte nicht immer seine eigenen Erfahrungen, nur weil man gerade zufällig stark in solche Lösungen involviert ist, auf die Welt übertragen.
Zum Vergrößern anklicken....
Ironischerweise ist der einzige, der das hier (in negierter Form) macht, ein User namens xexex.

Und für RCE ist halt nunmal genau die Welt von der ich Spreche extrem interessant. Wofür steht nochmal das R bei RCE? Und was ist meist public reachable? Ah richtig, das wovon ich spreche.
 
  • Gefällt mir
Reaktionen: Unnu, FrAGgi, PHuV und 5 andere
@foo_1337
Könntest du bitte aufhören xexex und Andere überzeugen zu wollen? Bei Einigen hängt der Brötchenerwerb von solchen Einstellungen ab!
 
  • Gefällt mir
Reaktionen: foo_1337
foo_1337 schrieb:
Hier mal ein kleiner Realitätsabgleich der großen Portale:
Zum Vergrößern anklicken....
Dann mal für dich die Frage, was habe ich mit möglichen Sicherheitslücken bei irgendwelchen Webhostern zu tun?

foo_1337 schrieb:
Und ungefähr so ist es halt grundsätzlich. Fast alles, was etwas auf sich hält, hat irgendwo Java im Einsatz.
Zum Vergrößern anklicken....
Clouddienste? Womöglich! Inwiefern ist das ein Risiko für interne Kundennetzwerke? Ich schrieb von Software die bei Kunden läuft, die deren Netzwerk angreifbar machen machen würde und da ist alles relevante längst weg von Java.

Du kannst mir hier noch so viele Statistiken posten. Für uns, ein IT Unternehmen mit über 100 Mitarbeitern war diese Lücke bisher irrelevant, von ein paar Datev Updates mal abgesehen, wobei auch da nur eine einzelne Komponente betroffen war und eh nicht aus dem Internet zugreifbar ist.

Heartbleed hat hingegen wochenlanges Patchen notwendig gemacht und die Exchange Server Lücke hat bei einigen Kunden in kürzester Zeit ganze Netze stillgelegt.
 
Zuletzt bearbeitet:
Piktogramm schrieb:
@foo_1337
Könntest du bitte aufhören xexex und Andere überzeugen zu wollen? Bei Einigen hängt der Brötchenerwerb von solchen Einstellungen ab!
Zum Vergrößern anklicken....
Du hast recht, daher ist das mein letzter Beitrag zu seinem geschriebenen. Und das auch nur, weil es (hoffentlich) auch für andere relevant sein könnte bzw. nicht dass noch jemand auf das von ihm geschriebene reinfällt.

xexex schrieb:
Dann mal für dich die Frage, was habe ich mit möglichen Sicherheitslücken bei irgendwelchen Webhostern zu tun?
Zum Vergrößern anklicken....
Das ist mir egal. Du versuchst die ganze Zeit im Thread das Thema runterzuspielen.
xexex schrieb:
Clouddienste? Womöglich! Inwiefern ist das ein Risiko für interne Kundennetzwerke? Ich schrieb von Software die bei Kunden läuft, die deren Netzwerk angreifbar machen machen würde und da ist alles relevante längst weg von Java.
Zum Vergrößern anklicken....
Zum 100. Mal: EURE Kunden.

xexex schrieb:
Halten wir mal fest, aktuell wären 165 Seiten direkt aus dem Netz erreichbar und möglicherweise angreifbar.
Zum Vergrößern anklicken....
Wie oft willst du noch deine eigenen Quellen falsch interpretieren? Da steht, dass 165 Seiten dazu gekommen sind. Gesamt sind es es knapp 6000 in dieser Statistik.
Und abgesehen davon war Jboss/Wildfly halt auch nur ein Beispiel, aber egal.

xexex schrieb:
Halten wir mal fest, aktuell wären 165 Seiten direkt aus dem Netz erreichbar und möglicherweise angreifbar. Willst du wissen wie viele Exchange Server im Vergleich dazu erreichbar sind?
Zum Vergrößern anklicken....
Na hoffentlich nicht all zu viele. Wer 2021 einen Exchange Server direkt ins Internet exposed, hat den Schuss ohnehin nicht gehört.
So, und jetzt ignore list. Schont deine und meine Nerven.
 
chartmix schrieb:
Wie sollte sich der Staat denn wofür und für wen einsetzen?
Zum Vergrößern anklicken....
um Lücken die auf der Scale 8/10 übertreffen, sollten vom BSI (z.B.) untersucht werden und Tools/Erkenntnisse für jeden sammeln (zentral). Dafür bezahle ich "lieber" Steuern als für den Vorstoß das ISPs demnächst den Geheimdiensten beim Aufweichen von Schutzmechanismen helfen sollen (was zum Glück wieder gekippt wurde, aktuell zumindest)
Solche Lücken die auf der Scale ganz oben rumhängen und quasi Jeden betreffen (vor allem mit RemoteCodeExecution), da muss schnelle und zentrale Hilfe her. Such mal im Internet nach log4j, selbst auf Github häufen sich Massen an Tools, wo Du erstmal den Code ReverseEngineeren kannst, um nicht dadurch auch noch anderen Ballast mit an Bord zu holen.. Selbst hier im Forum sieht man, das jeder es für sich weis, aber ob wir alles abgedeckt und gefixt bzw. verschlimmbessert haben (who knows - jeder für sich eben).

Das sowas total an der Realität vorbei geht, weiß ich selber.
 
  • Gefällt mir
Reaktionen: Snowi und foo_1337
foo_1337 schrieb:
Wer 2021 einen Exchange Server direkt ins Internet exposed, hat den Schuss ohnehin nicht gehört.
Zum Vergrößern anklicken....
Lustig wie du komplett fern der Realität lebst.

1639928445165.png


Dagegen ist die aktuelle Sicherheitslücke ein laues Lüftchen.
 
Bin für den größten Automobilhersteller als technischer Berater im globalen IT Asset Management zuständig.

Jetzt heißt es den Kunden bis Ende des Jahres mit Erfassungslogiken bei der Suche nach möglichen betroffenen Systemen zu unterstützen.

Glücklicherweise kann ich hierbei auf ein Tool zugreifen, welches relativ umfangreich customizable ist und Daten in eine DB schreibt auf die ich Vollzugriff besitze.

Jedoch ist der Programmieraufwand hoch und an Urlaub oder „ganze“ Wochenenden ist bis zum Februar wohl nicht zu denken.

(geschrieben während der Entwicklung)

Gruß,
=dantE=
 
  • Gefällt mir
Reaktionen: Unnu
Piktogramm schrieb:
Exponierst du überhaupt was ins Web? Tendenz ist bisher, dass auf jedem Port der zu einem halbwegs bekannten Dienst passt aller paar Stunden ein Versuch aufschlägt.
Wobei von chinesischen IPs auffällig wenig kommt. Da gab es letztes WE mal einen Schwung und überall wo es nicht geklappt hat, scheint da nicht mehr groß probiert zu werden. Dafür kommt aller Stunden ein Scanner vorbei, der immer den selben russischen Zielserver hat (ein bisschen mehr Eleganz hätte ich ja schon gern).
Zum Vergrößern anklicken....
Bei mir ist der https Port nur für den deutschsprachigen Raum offen d.h. im Normalfall bekomme ich nur Attacken von deutschen Botnetzen.
 
foo_1337 schrieb:
In dieser Welt kommst du nach wie vor selten an Java vorbei und das ist auch nicht schlimm.
Zum Vergrößern anklicken....
Das ist aber ebenfalls nicht gut da so eine Sicherheitslücke immer gleich sehr viele trifft. Besser wäre es wenn sich keine Sprache zu stark durchsetzt damit es immer Systeme gibt die sicher nicht betroffen sind.

Da ich keine Java Software auf meinen Systemen laufen habe war ich zum Glück auch nicht betroffen.
 
Als SAP Berater in der Betreuung mehrerer Unternehmen kam da in der letzten Woche doch einiges zusammen. Da die SAP ja auch mal wieder mehr schlecht als Recht informiert hat sind auch jetzt noch Fragen bei meinen Kunden offen. Das gröbste konnten wir fixen, nur um gestern zu erfahren dass der Fix eigentlich nichts bringt. Die nächste Woche wird also nochmal spannend.
 
stratocaster schrieb:
Wie kann ich herausfinden ob mein PC betroffen ist? Muss ich irgendwelche Maßnahmen ergreifen?
Zum Vergrößern anklicken....
https://www.bsi.bund.de/DE/Themen/U...fszielen/Webanwendungen/log4j/log4j_node.html

Auf github gibts Scanner, ob Du denen vertraust - muss Du selber wissen/nachprüfen. Zumindest sind diese vom BSI und MS in deren Security Papern empfohlen..

(BSI) https://github.com/hillu/local-log4j-vuln-scanner
(MS) https://github.com/logpresso/CVE-2021-44228-Scanner
 
Enigma schrieb:
Das ist (analog zu einem Virenscanner auf dem PC) nicht die richtige Lösung. Das kann ergänzend gemacht werden.
Zum Vergrößern anklicken....
Wie bitte? Wie kommst du zu dieser Aussage? Selbstverständlich ist das die richtige und einzig realistische Lösung. Alternativ müsste jede direkte und transitive Abhängigkeit manuell durchgegangen werden, und zwar bei JEDEM Versionbump. Das ist komplette Resourcenverschwendung.
Bitte sag mir mal eine Alternative.


@Topic
Wie sieht’s aus? Ich nehme an, bei vielen kommt Elastic und/oder Logstash zum Einsatz. Hat das bei euren Ops zum Eingreifen geführt? Was ist mit den unzähligen Docker Images, die theoretisch auch betroffen sind?
 
Zuletzt bearbeitet:
SheepShaver schrieb:
@Topic
Wie sieht’s aus? Ich nehme an, bei vielen kommt Elastic und/oder Logstash zum Einsatz. Hat das bei euren Ops zum Eingreifen geführt? Was ist mit den unzähligen Docker Images, die theoretisch auch betroffen sind?
Zum Vergrößern anklicken....
Kein Logstash, aber elastic. Seit vorletzten Freitag durch NoMsgLookupFormat in den JVM Opts sowie entfernen der JNDI Klassen im Jar mitigiert. Helm Charts angepasst, Container Images neu gebaut, Pods neu deployed.
 
I.d.r. ist es bei Bekanntmachungen solcher Zero day Lücken doch meistens zu spät, da die schadsoftware sich schon vorher massenhaft verbreitet hat. Ich selbst hatte noch keine negativen Auswirkungen, egal welche Zero day Lücke die letzten 20 Jahre bekannt gemacht wurden.
 
bruderzorn schrieb:
Sehr viel unruhige Kunden, Chaos im Outlook-Postfach und ein nicht stillstehendes Telefon.
Zum Vergrößern anklicken....
Bin ich froh, dass ich aus dem Bereich raus bin und ich eine Woche Urlaub hatte.

Hab am Montag meinen Kollegen geschrieben, dass es da eine Lücke gibt, er soll mal das, was wir direkt im Netz betreiben, abklopfen und ansonsten eine Meldung an die übergeordnete IT-Stelle gegeben. Mal sehen, was morgen mich erwartet, auch an E-Mails.
foo_1337 schrieb:
Wie kann man nur so ignorant sein? Nur weil du nicht in dieser Welt unterwegs bist und jetzt mit Statistiken kommst, die Milliarden godaddy & Co 0815 minisites mit im Index haben?
Zum Vergrößern anklicken....
Ach, lass ihn. Er hat keine wirkliche Ahnung, sondern nur viel Halbwissen und denkt, wenn er ein paar Statistiken anbringt, gleicht es sein nicht Wissen aus. Dazu kommt halt auch noch eine gehörige Portion fehlender Selbstreflexion, sodass er versucht bis zum Ende Recht zu behalten, auch wenn man ihn regelrecht gegen die Wand argumentiert hat.

Er kann nicht verstehen, dass Java oft nicht auf den ersten Blick eine wichtige Rolle spielt, aber meistens eine oder zwei Ebenen darunter dann fast alternative los ist.

Sobald eine Webseite heute - oder auch andere Dienste - eine Suche anbietet, wird in der Regel Elasticsearch oder direkt SolR verwendet. Genauso, dass es einige andere NoSQL-Datenbanken gibt, die weit verbreitet sind und in Java geschrieben wurden.

Das ist ähnlich wie heute Node.JS, man hat zwar oft nicht mit Webseiten zutun, die direkt mit Node.JS laufen, aber man hat teilweise über Umwege dann Abhängigkeiten zu Node.JS und Co.

Ist halt wie mit C und C++, die bei Webseiten quasi keine Rolle spielen, und doch sind beide Sprachen fast überall beteiligt, weil die Interpreter für viele Skriptsprachen in diesen Sprachen geschrieben wurden. Eine Sprache muss nicht in der ersten Reihe stehen, es reicht, wenn irgendeine Datenbank, irgendein Tool in der Sprache geschrieben wurde.

Und man könnte hier auch eine andere Statistik anbringen: Die Beliebtheit einer Programmiersprache, in der Java auf Platz 2 steht.

Es ist halt eben nicht alles sofort auf eine Statistik zu reduzieren, die Bilder sind oft viel differenzierter.
 
  • Gefällt mir
Reaktionen: Unnu, Snowi und foo_1337
Am meisten nervt eigentlich, dass es nun noch eine Version (2.17) braucht, die dann hoffentlich mal endgültige Abhilfe schafft - kopflos mit einem Workaround der nicht funktioniert hat und mit einer Version 2.16, bei der man die Lookup Funktion versucht hat rauszuschmeißen, wirbt man auch nicht für Vertrauen - das nervt.
 
  • Gefällt mir
Reaktionen: foo_1337
Gar nichts hat das bedeutet, hab Urlaub und damit ist das nicht mein Problem und kann mir herzlich egal sein. Macht (ihr euch) mal (verrückt).
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Jan
News Log4Shell: Sicherheitslücke in log4j für Java hält die IT-Welt in Atem
10 11 12
Antworten
222
Aufrufe
32.739
Grimba
Grimba
SVΞN
News Sonntagsfrage: Welche Sonntagsfrage würdet ihr euch mal wünschen?
6 7 8
Antworten
153
Aufrufe
15.667
HannesH.20
H
SVΞN
News Sonntagsfrage: Ist Open Source für euch eine Alternative?
28 29 30
Antworten
584
Aufrufe
51.831
riloka
R
SVΞN
News Sonntagsfrage: VR-Gaming war, ist und bleibt etwas für die Nische, oder?
23 24 25
Antworten
480
Aufrufe
59.759
nr-Thunder
nr-Thunder
SVΞN
News Sonntagsfrage: AMD Radeon oder Nvidia GeForce für die Next-Gen?
11 12 13
Antworten
246
Aufrufe
28.512
GERmaximus
GERmaximus
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz