Darkfield (20.12.2021)
-
20.12.2021, 00:21 #21
- Registriert seit
- 14.12.2021
- Beiträge
- 2
Thanked 0 Times in 0 PostsAW: Schwere Lücke in log4j (CVSS 10/10): Zahlreiche Java-Anwendungen betroffen, u.a. Apple, Steam, T
Geändert von mupan (20.12.2021 um 00:29 Uhr)
-
20.12.2021, 01:34 #22
- Registriert seit
- 15.11.2011
- Beiträge
- 6.081
- Blog Entries
- 5
Thanked 9.119 Times in 2.996 PostsUPDATE: Es gibt mit CVE-2021-45105 eine dritte Schwachstelle in log4j. Auch die jüngste 2.16.0 ist betroffen. Die dritte Schwachstelle hat einen CVSS-Score von 7.5/10 und ist - wie der in 2.16 behobene Vorgänger - eine DoS-Schwachstelle. Man kann durch rekursive Abfragen den Server überlasten, sodass dieser nicht mehr für andere Nutzer zur Verfügung steht. Version 2.17.0 soll diesen Fehler korrigieren. Über die zwei vorherigen hatte ich in einem gesonderten Beitrag bereits berichtet.
UPDATE 22.12.2021: Das vorherige Update ist nun auch als Video-Beitrag verfügbar.
-
The Following User Says Thank You to DMW007 For This Useful Post:
-
22.12.2021, 12:56 #23
Auch dafür wird es ja einen verantwortlichen geben. Bei Eigenentwicklungen hat man hier sogar Vorteile, weil man selbst die volle Kontrolle hat und eingreifen kann. Oder eben den Dienstleister beauftragt, der das für einen entwickelt hat, falls es keine In-House Anwendung war.
Bei proprietärer Software dagegen ist man voll vom Hersteller abhängig. Diese Abhängigkeit sehe ich nur als Vorteil, wenn es einem um reine Compliance geht. Also einen Buhmann haben, auf dem man mit dem Finger zeigen kann. Geht es dagegen um das beste Ergebnis, also eine konstruktive Lösung, dann ist das freilich eher hinderlich.
-
22.12.2021, 14:32 #24
- Registriert seit
- 30.09.2021
- Beiträge
- 1.341
Thanked 31 Times in 29 PostsDas Problem ist allgemein weil dies so beliebt ist folgen wir alle blindlings ( Bestes Beispiel Auslagerung der Produktion der Chips) und deswegen haben wir dieses Problem ein Plan b oder c gibt es dann nicht.
Kommentar von cubytischer.
-
22.12.2021, 18:55 #25
- Registriert seit
- 15.11.2011
- Beiträge
- 6.081
- Blog Entries
- 5
Thanked 9.119 Times in 2.996 PostsDas blindlings ist mMn das Problem: Dadurch sehen viele gar nicht, wie ihr Projekt von Drittanbieter-Paketen abhängig ist. Damit müsste sorgsamer umgegangen werden. In dem Moment, wo man sich Drittanbieter-Code in sein Projekt holt, sollte man damit genau so sensibel umgehen, wie mit eigenem Code. Modularität ist cool und nützlich, aber das birgt eben auch seine Risiken. Die sollte man minimieren, was derzeit noch nicht im Trend zu liegen scheint.
Wir werden daher in den nächsten Wochen sicher einige weitere Angriffe beobachten können. Es wird Systeme treffen, die Log4j über X Ecken von Abhängigkeiten einsetzen, ohne es zu wissen, weil sie keine Kontrolle mehr über ihre Abhängigkeiten haben. Und natürlich die üblichen Verdächtigen, die Updates nicht zeitnah einspielen. Auch da wird es ein paar erwischen. Hoffen wir mal, dass nichts all zu kritisches dabei ist.
-
The Following User Says Thank You to DMW007 For This Useful Post:
Hase (22.12.2021)
-
22.12.2021, 18:59 #26
- Registriert seit
- 30.09.2021
- Beiträge
- 1.341
Thanked 31 Times in 29 PostsAlso wenn ich minecraft spiele oder andere Programme nutze sollte ich immer gucken das ich auf dem neusten Stand bin ne?
Kommentar von Jackbloons.
-
The Following User Says Thank You to U-Labs YouTube For This Useful Post:
Hase (22.12.2021)
-
22.12.2021, 23:12 #27
- Registriert seit
- 15.11.2011
- Beiträge
- 6.081
- Blog Entries
- 5
Thanked 9.119 Times in 2.996 PostsJa. Sämtliche Programme inkl. Betriebssystem auf dem aktuellsten Stand zu halten, ist eine der wichtigsten Grundlagen für sichere IT-Systeme. Das gilt nicht nur für die Lücken in Log4Shell, sondern generell. Es werden regelmäßig neue Sicherheitslücken bekannt, die von verantwortungsvollen Herstellern zeitnah und nachhaltig in Form von Updates verteilt werden.
-
22.12.2021, 23:19 #28
- Registriert seit
- 30.09.2021
- Beiträge
- 1.341
Thanked 31 Times in 29 PostsMoin, ich kenne mich praktisch gar nicht mit programmieren aus. Ich habe den Code in Visual Studio Code. Wie führe ich den Code aus und wo wird mir das Ergebnis angezeigt? Visual Studio wurde gerade ohne Extentions installiert.
Kommentar von Sascha /.
-
22.12.2021, 23:19 #29
- Registriert seit
- 15.11.2011
- Beiträge
- 6.081
- Blog Entries
- 5
Thanked 9.119 Times in 2.996 PostsHi,
welchen Code meinst du? Die Befehle im Video sind für Linux Workstations und Server gedacht und suchen nach der Log4j Bibliothek. Wenn du dort Treffer findest, wie gesagt nach Möglichkeit die Software, zu der sie gehören, aktualisieren. Oder eben die gezeigten Workarounds anwenden. Wie das konkret funktioniert, variiert je nach verwendeter Software.
Visual Studio oder Visual Studio Code (letzteres ist ein Texteditor, Ersterer eine Entwicklungsumgebung) brauchst du dafür nicht zwingend. Den Texteditor habe ich nur zum zeigen der Workarounds verwendet.
-
22.12.2021, 23:24 #30
- Registriert seit
- 30.09.2021
- Beiträge
- 1.341
Thanked 31 Times in 29 PostsBetrifft das ausschließlich log4j oder auch andere libraries aus den apache logging services? Bspw log4net...
Kommentar von Großer Gurken Bruder.
Diese Seite nutzt Cookies, um das Nutzererlebnis zu verbessern. Klicken Sie hier, um das Cookie-Tracking zu deaktivieren.