Seite 3 von 5 Erste 12345 Letzte
  1. #21

    Registriert seit
    14.12.2021
    Beiträge
    2
    Thanked 0 Times in 0 Posts

    Standard AW: Schwere Lücke in log4j (CVSS 10/10): Zahlreiche Java-Anwendungen betroffen, u.a. Apple, Steam, T

    Zitat Zitat von Bob Marley Beitrag anzeigen
    Deine Erfahrungen mit den Herstellern ist leider nicht selten. Vor allem bei proprietärer Software sitzen die auch meiner Erfahrung nach auf einem hohen Ross und liefern Updates teilweise nur wenn man zahlt. Was ein Unding ist wenn man bedenkt, dass die Lücke ja bereits zum Kaufzeitpunkt vorhanden ist.
    Ein klares Jein ;-) Wenn du Standardsoftware gekauft hast, kannst du diese Kundenposition einnehmen. Leider hab ich es nie mit Standardsoftware zu tun.
    Geändert von mupan (20.12.2021 um 00:29 Uhr)

  2. #22
    Avatar von DMW007
    Registriert seit
    15.11.2011
    Beiträge
    6.080
    Thanked 9.118 Times in 2.995 Posts
    Blog Entries
    5

    Standard

    UPDATE: Es gibt mit CVE-2021-45105 eine dritte Schwachstelle in log4j. Auch die jüngste 2.16.0 ist betroffen. Die dritte Schwachstelle hat einen CVSS-Score von 7.5/10 und ist - wie der in 2.16 behobene Vorgänger - eine DoS-Schwachstelle. Man kann durch rekursive Abfragen den Server überlasten, sodass dieser nicht mehr für andere Nutzer zur Verfügung steht. Version 2.17.0 soll diesen Fehler korrigieren. Über die zwei vorherigen hatte ich in einem gesonderten Beitrag bereits berichtet.

    UPDATE 22.12.2021: Das vorherige Update ist nun auch als Video-Beitrag verfügbar.


  3. The Following User Says Thank You to DMW007 For This Useful Post:

    Darkfield (20.12.2021)

  4. #23
    Avatar von Bob Marley
    Registriert seit
    02.12.2011
    Beiträge
    54
    Thanked 24 Times in 18 Posts

    Standard


    Zitat Zitat von mupan Beitrag anzeigen
    Ein klares Jein ;-) Wenn du Standardsoftware gekauft hast, kannst du diese Kundenposition einnehmen. Leider hab ich es nie mit Standardsoftware zu tun.
    Auch dafür wird es ja einen verantwortlichen geben. Bei Eigenentwicklungen hat man hier sogar Vorteile, weil man selbst die volle Kontrolle hat und eingreifen kann. Oder eben den Dienstleister beauftragt, der das für einen entwickelt hat, falls es keine In-House Anwendung war.

    Bei proprietärer Software dagegen ist man voll vom Hersteller abhängig. Diese Abhängigkeit sehe ich nur als Vorteil, wenn es einem um reine Compliance geht. Also einen Buhmann haben, auf dem man mit dem Finger zeigen kann. Geht es dagegen um das beste Ergebnis, also eine konstruktive Lösung, dann ist das freilich eher hinderlich.

  5. #24
    Avatar von U-Labs YouTube
    Registriert seit
    30.09.2021
    Beiträge
    1.341
    Thanked 31 Times in 29 Posts

    Standard

    Das Problem ist allgemein weil dies so beliebt ist folgen wir alle blindlings ( Bestes Beispiel Auslagerung der Produktion der Chips) und deswegen haben wir dieses Problem ein Plan b oder c gibt es dann nicht.


    Kommentar von cubytischer.

  6. #25
    Avatar von DMW007
    Registriert seit
    15.11.2011
    Beiträge
    6.080
    Thanked 9.118 Times in 2.995 Posts
    Blog Entries
    5

    Standard

    Das blindlings ist mMn das Problem: Dadurch sehen viele gar nicht, wie ihr Projekt von Drittanbieter-Paketen abhängig ist. Damit müsste sorgsamer umgegangen werden. In dem Moment, wo man sich Drittanbieter-Code in sein Projekt holt, sollte man damit genau so sensibel umgehen, wie mit eigenem Code. Modularität ist cool und nützlich, aber das birgt eben auch seine Risiken. Die sollte man minimieren, was derzeit noch nicht im Trend zu liegen scheint.

    Wir werden daher in den nächsten Wochen sicher einige weitere Angriffe beobachten können. Es wird Systeme treffen, die Log4j über X Ecken von Abhängigkeiten einsetzen, ohne es zu wissen, weil sie keine Kontrolle mehr über ihre Abhängigkeiten haben. Und natürlich die üblichen Verdächtigen, die Updates nicht zeitnah einspielen. Auch da wird es ein paar erwischen. Hoffen wir mal, dass nichts all zu kritisches dabei ist.

  7. The Following User Says Thank You to DMW007 For This Useful Post:

    Hase (22.12.2021)

  8. #26
    Avatar von U-Labs YouTube
    Registriert seit
    30.09.2021
    Beiträge
    1.341
    Thanked 31 Times in 29 Posts

    Standard

    Also wenn ich minecraft spiele oder andere Programme nutze sollte ich immer gucken das ich auf dem neusten Stand bin ne?


    Kommentar von Jackbloons.

  9. The Following User Says Thank You to U-Labs YouTube For This Useful Post:

    Hase (22.12.2021)

  10. #27
    Avatar von DMW007
    Registriert seit
    15.11.2011
    Beiträge
    6.080
    Thanked 9.118 Times in 2.995 Posts
    Blog Entries
    5

    Standard

    Ja. Sämtliche Programme inkl. Betriebssystem auf dem aktuellsten Stand zu halten, ist eine der wichtigsten Grundlagen für sichere IT-Systeme. Das gilt nicht nur für die Lücken in Log4Shell, sondern generell. Es werden regelmäßig neue Sicherheitslücken bekannt, die von verantwortungsvollen Herstellern zeitnah und nachhaltig in Form von Updates verteilt werden.

  11. #28
    Avatar von U-Labs YouTube
    Registriert seit
    30.09.2021
    Beiträge
    1.341
    Thanked 31 Times in 29 Posts

    Standard

    Moin, ich kenne mich praktisch gar nicht mit programmieren aus. Ich habe den Code in Visual Studio Code. Wie führe ich den Code aus und wo wird mir das Ergebnis angezeigt? Visual Studio wurde gerade ohne Extentions installiert.



    Kommentar von Sascha /.

  12. #29
    Avatar von DMW007
    Registriert seit
    15.11.2011
    Beiträge
    6.080
    Thanked 9.118 Times in 2.995 Posts
    Blog Entries
    5

    Standard

    Hi,

    welchen Code meinst du? Die Befehle im Video sind für Linux Workstations und Server gedacht und suchen nach der Log4j Bibliothek. Wenn du dort Treffer findest, wie gesagt nach Möglichkeit die Software, zu der sie gehören, aktualisieren. Oder eben die gezeigten Workarounds anwenden. Wie das konkret funktioniert, variiert je nach verwendeter Software.

    Visual Studio oder Visual Studio Code (letzteres ist ein Texteditor, Ersterer eine Entwicklungsumgebung) brauchst du dafür nicht zwingend. Den Texteditor habe ich nur zum zeigen der Workarounds verwendet.

  13. #30
    Avatar von U-Labs YouTube
    Registriert seit
    30.09.2021
    Beiträge
    1.341
    Thanked 31 Times in 29 Posts

    Standard

    Betrifft das ausschließlich log4j oder auch andere libraries aus den apache logging services? Bspw log4net...


    Kommentar von Großer Gurken Bruder.

Seite 3 von 5 Erste 12345 Letzte
Diese Seite nutzt Cookies, um das Nutzererlebnis zu verbessern. Klicken Sie hier, um das Cookie-Tracking zu deaktivieren.