Log4j - Schwachstelle

[Neben der Spur]

Apache ist erst einmal ein Projekt. Es sagt daher wenig darüber aus, wo der Logging Server untergebracht ist.

Wenn es denn installiert ist.
Und aktiviert ist.
Und 24/7 aktiviert ist.
Warum sollte man was aufzeichnen wollen?
Ein Logger frisst HDD, RAM und CPU.
Und die Logs müssen automatisch ausgewertet werden,
und Mails gesendet bei Ereignis-Stufen.

Also, wer professionell die log4j nutzt,
der wird mit den aufgetauchten Problemen umgehen können.

Verschwörerie: Alles eine Übertriebene Zeitungsente,
um einen Billig-Konkurrenten abzuschließen,
und gar obendrauf noch Viren-Killer-Software zu verkaufen.
Jetzt zu Weihnachten sind die Leute sentimental,
wollen keine Ängste haben,
also sitzt das Geld lokker.

[Haspelbein]

Wenn es denn installiert ist.
Und aktiviert ist.
Und 24/7 aktiviert ist.
Warum sollte man was aufzeichnen wollen?
Ein Logger frisst HDD, RAM und CPU.
Und die Logs müssen automatisch ausgewertet werden,
und Mails gesendet bei Ereignis-Stufen.

Also, wer professionell die log4j nutzt,
der wird mit den aufgetauchten Problemen umgehen können.

Verschwörerie: Alles eine Übertriebene Zeitungsente,
um einen Billig-Konkurrenten abzuschließen,
und gar obendrauf noch Viren-Killer-Software zu verkaufen.
Jetzt zu Weihnachten sind die Leute sentimental,
wollen keine Ängste haben,
also sitzt das Geld lokker.

Nein, die Schwachstelle existiert schon, was man an der Dokumentation des Projektes erkennen kann. Es ist prinzipiell auch kein Problem, das Logging auf einen zentralen Server auszulagern. Log4j ist da auch nicht die einzige Lösung. (Ich nehme hier kommerzielle Applikationen aus, die auf eine bestimmte Art des Logging festgelegt sind.)

Warum sollte ich was aufzeichnen wollen? Bei der Arbeit würde mir eine US-Behörde mit drei Buchstaben auf den Pelz rücken, wenn etwas nicht nachvollziehbar ist.

[Neben der Spur]

Nsa, fbi, cia, cdc ?

[ABAS]

Seit ein paar Tagen gehen die Nachrichten zur Log4j-Schwachstelle [Links nur für registrierte Nutzer], wie auch in dem hier verlinkten Artikel der Zeit-Online.

Das Problem ist deshalb so kritisch, weil Java fast überall verwendet wird, besonders bei den Web Application Servern, d.h. der Basis für sehr viele Web Applikationen. Dazu kommt noch, dass Log4j relativ tief im "Stack", also der Infrastruktur, dieser Java-Umgebungen sitzt, und dementsprechend auch häufig verwendet wird.



Und wie der Artikel ebenso korrekt darstellt:



Man kann dies u.U. nicht durch ein einfaches Update beheben, sondern muss die ganze Entwicklungsumgebung neu aufsetzen, damit der Rest der Softwarebibliotheken mit dem Log4j Update kompatibel sind. Wenn man sich ansieht, wie schnell es bei der STRUTS-Schwachstelle ging, kann dies bei einigen Firmen Jahre dauern.

Hier liegt der Artikel aber m.E. falsch:



Beim IoT bin ich damit nicht so sicher, d.h. die heimische Alarmanlage, der Smart-Speaker und ähnliche Geräte könnten davon durchaus betroffen sein.

Bei meinem MAC habe ich die jeweils aktuellste Java Version, hoechst Sicherheitsstufe und automatische update Funktion
eingeschaltet. Es hat vor einigen Tagen noch ein Sicherheitsupdate fuer das gesamte Betriebssystem von Apple gegeben.
Ich gehe davon aus das durch die aktuellen Java und Apple Updates die Sicherheitsluecke zumindest fuer User mit MacOS
Betriebssytem ab Version Catalina, Bir Sur und Monterey beseitigt ist.

Kannst Du mir sagen ob das stimmt oder ich einem Irrtum unterliege?

[Haspelbein]

Bei meinem MAC habe ich die jeweils aktuellste Java Version, hoechst Sicherheitsstufe und automatische update Funktion
eingeschaltet. Es hat vor einigen Tagen noch ein Sicherheitsupdate fuer das gesamte Betriebssystem von Apple gegeben.
Ich gehe davon aus das durch die aktuellen Java und Apple Updates die Sicherheitsluecke zumindest fuer User mit MacOS
Betriebssytem ab Version Catalina, Bir Sur und Monterey beseitigt ist.

Kannst Du mir sagen ob das stimmt oder ich einem Irrtum unterliege?

Das wird dich wahrscheinlich gar nicht betreffen, da du keine Server-Applikationen auf deinem Rechner am laufen hast. Diese Schwachstelle betrifft eher Firmen, obwohl sie auch bei Druckern, Smart-TVs und ähnlichen Geräten möglich ist. (Nur wird ein Hacker es ziemlich schwer haben auf dein LAN zu gelangen, und dein Drucker ist wahrscheinlich kein allzu lohnendes Ziel eines Angriffs.) iCloud war jedoch betroffen und wurde gepatcht.

P.S.: Was machst du eigentlich mit einem zutiefst imperialistischen Rechner? Solltest du nicht einen Lenovo mit einer China-Linux-Distribution benutzen?

[ABAS]

Das wird dich wahrscheinlich gar nicht betreffen, da du keine Server-Applikationen auf deinem Rechner am laufen hast. Diese Schwachstelle betrifft eher Firmen, obwohl sie auch bei Druckern, Smart-TVs und ähnlichen Geräten möglich ist. (Nur wird ein Hacker es ziemlich schwer haben auf dein LAN zu gelangen, und dein Drucker ist wahrscheinlich kein allzu lohnendes Ziel eines Angriffs.) iCloud war jedoch betroffen und wurde gepatcht.

P.S.: Was machst du eigentlich mit einem zutiefst imperialistischen Rechner? Solltest du nicht einen Lenovo mit einer China-Linux-Distribution benutzen?

Danke Dir fuer die professionelle Antwort.

Zu Deiner Frage:

Kein Mensch ist perfekt! Ich kaufte sogar MACs wenn die noch in den USA produziert wuerden,
weil die Hardware und Software eben gut ist. Jetzt ergaenze ich mein Outing. Ich habe sogar zwei
John Deere Strong Box Batterien in meinem Landrover und mein neustes Produkt aus den USA
ist ein ESEE Bushcraft Messer Model 5 OD Green Blade 3D in 1095 Carbonstahl - Made in the USA-!

Wenn ich noch an meine Leatherman Tools, Zippo Feuerzeuge und Maglite Taschlampen denke,
fuehle ich mich schon wie fast wie ein Amistricher! Ausserdem rauche ich seit mindesten 30 Jahre
ausschliesslich Lucky Strike und plane mir einen Airstream Trailer zu kaufen.

[Haspelbein]

Danke Dir fuer die professionelle Antwort.

Zu Deiner Frage:

Kein Mensch ist perfekt! Ich kaufte sogar MACs wenn die noch in den USA produziert wuerden,
weil die Hardware und Software eben gut ist. Jetzt ergaenze ich mein Outing. Ich habe sogar zwei
John Deere Strong Box Batterien in meinem Landrover und mein neustes Produkt aus den USA
ist ein ESEE Bushcraft Messer Model 5 OD Green Blade 3D in 1095 Carbonstahl - Made in the USA-!

Wenn ich noch an meine Leatherman Tools, Zippo Feuerzeuge und Maglite Taschlampen denke,
fuehle ich mich schon wie fast wie ein Amistricher! Ausserdem rauche ich seit mindesten 30 Jahre
ausschliesslich Lucky Strike und plane mir einen Airstream Trailer zu kaufen.

Keine Angst, ich werde es dem Ministerium für Staatssicherheit schon nicht verraten.

[Ansuz]

Das ist eine komplizierte Frage, aber nein, grob gesagt hat Oracle die Rechte auf die Sprache selbst, aber nicht auf irgendwelche Open-Source Softwarebibliotheken, die auf dieser Sprache beruhen.

*g*

Zum Strangthema: schon bekannt? [Links nur für registrierte Nutzer]

[Haspelbein]

*g*

Zum Strangthema: schon bekannt? [Links nur für registrierte Nutzer]

Ja, herrlich. Obwohl eine jede halbwegs kompetente Organisation einen andere Weg wählen sollte, d.h. man nimmt schlicht an, dass der Bug existiert. Ich bekomme gerade detaillierte Berichte, welche Versionen wie gepatcht werden müssen, wenn überhaupt. (Einige alte Versionen sind nicht betroffen.)

[Ansuz]

Ja, herrlich. Obwohl eine jede halbwegs kompetente Organisation einen andere Weg wählen sollte, d.h. man nimmt schlicht an, dass der Bug existiert. Ich bekomme gerade detaillierte Berichte, welche Versionen wie gepatcht werden müssen, wenn überhaupt. (Einige alte Versionen sind nicht betroffen.)

Das ist auch lustig: