Log4Shell: Klaffende Sicherheitslücke in Javas Log4j sorgt für Furore

PCGH-Redaktion

PCGH-Redaktion

Kommentar-System
Teammitglied
Jetzt ist Ihre Meinung gefragt zu Log4Shell: Klaffende Sicherheitslücke in Javas Log4j sorgt für Furore

Eine kritische Zero-Day-Lücke namens Log4Shell in der verbreiteten Java-Logging-Bibliothek Log4j gefährdet zahlreiche Server und Apps, die so von Angreifern einfach gekapert und kompromittiert werden können.

Bitte beachten Sie: Der Kommentarbereich wird gemäß der Forenregeln moderiert. Allgemeine Fragen und Kritik zu Online-Artikeln von PC Games Hardware sind im Feedback-Unterforum zu veröffentlichen und nicht im Kommentarthread zu einer News. Dort werden sie ohne Nachfragen entfernt.

Zurück zum Artikel: Log4Shell: Klaffende Sicherheitslücke in Javas Log4j sorgt für Furore
 
Bei uns auf der Arbeit läuft eine Solr-Instanz, die durch die Lücke betroffen ist. Habe die verantwortlichen Leute mal drauf hingewiesen. Mal schauen ob was passiert.
 
Das ist so ziemlich der größte Nightmare seit Heartbleed...

Fefe schreibt:
  • [l] Keine Sorge. Das BSI kümmert sich.
    Die Behörde erhöhte deswegen am Samstag ihre bestehende Cyber-Sicherheitswarnung für die Java-Bibliothek Log4j auf die Warnstufe Rot. Es handelt sich dabei um die höchste Kategorie der vierstufigen BSI-Skala für Cyber-Sicherheitswarnungen und um die gegenwärtig einzige Meldung in dieser Stufe.
    Zum Vergrößern anklicken....
    Seht ihr? Kümmert sich schon jemand. Müssen wir hier nichts mehr tun.
    Außerdem ist das ein Softwareproblem. Da kann man eh nichts machen.
Zum Vergrößern anklicken....

Hatte mir am WE ne Appliance von einem Hersteller angeschaut der für sein gehärtetes OS wirbt und in der Tat konnte ich log4j nicht triggern....nachdem ich mir dann root Rechte verschafft hatte, war auch klar warum ... die haben die letzten 10 Jahre vergessen ihr log4j zu patchen und waren noch auf 1.x.x ...Glück muss man haben.
 
Ich habe ebenfalls am WE sämtliche Server nach Log4j abgesucht.
Tatsächlich nutzt unser ERP System Log4j in der Version 1.2.17. Wie es aktuell scheint ist diese Version in der Grundkonfiguration nicht betroffen.

Fun Fakt: Am 10.12.21 hat der Hersteller ein Update raus gebracht, das Log4j auf die anfällige V2 anhebt.
Ich dachte zuerst ich lese nicht richtig. :ugly:
 
Soviel dazu dass "open source" immer besser ist. Wie @highco sagte, jede Sprache oder Bibliothek kann Sicherheitslücken enthalten. Die Frage ist: Wer patched schneller? Open Source Projekte oder Hersteller denen Schadensersatzklagen drohen?

Ich bin gespannt wie das hier ausgeht, bei uns sind diverse Altsysteme unserer Kunden in Betrieb. Was da teilweise noch "laufen muss" ist erschreckend, 20 Jahre alte Software ist noch harmlos. Legacy at it's best. Und das bei großen Versicherungen / Unternehmen...
 
raPid-81 schrieb:
Soviel dazu dass "open source" immer besser ist. Wie @highco sagte, jede Sprache oder Bibliothek kann Sicherheitslücken enthalten. Die Frage ist: Wer patched schneller? Open Source Projekte oder Hersteller denen Schadensersatzklagen drohen?
Zum Vergrößern anklicken....
Warum soll das jetzt ein Argument gegen Open Source sein? Liegt doch auf der Hand warum Open Source besser ist. Bei proprietärer Software wüssten wir heute nichts von der Sicherheitslücke aber der Hersteller hätte den passenden Exploit Code dazu an die Geheimdienste verscherbelt.

highco schrieb:
Java ist nicht anfälliger für Fehler als andere Sprachen und ist immer noch überall am Markt im Einsatz und das wird sich auch nicht ändern in den nächsten Jahren.
Zum Vergrößern anklicken....
Natürlich ist Java anfälliger für Fehler als bspw. Rust, das mit einem Security-by-Design Prinzip entworfen wurde. Klar kann man in jeder Sprache Mist bauen, Java macht es einem da aber schon deutlich einfacher als bspw. Python.
 
raPid-81 schrieb:
Soviel dazu dass "open source" immer besser ist. Wie @highco sagte, jede Sprache oder Bibliothek kann Sicherheitslücken enthalten. Die Frage ist: Wer patched schneller? Open Source Projekte oder Hersteller denen Schadensersatzklagen drohen?
Zum Vergrößern anklicken....
Meist bekommt der Dienstleister zuerst eine auf die Mütze... leider
Der ist erster Ansprechpartner und die AGBs der Partnerverträge machen es möglich das der Hersteller oft erstmal raus ist.

Proprietäre Software kommt selten ohne "open source" Bestandteile aus und sei es "nur" der Unterbau.
Warum das Rad wieder neu erfinden, wenn man sich an existierenden bedienen kann?
O-Ton Hersteller: "Vom Grund auf neu entwickelt" <-- jaja is klar ?

Uns stresst gerade das Thema proprietäre Software, da wir nicht auf die im Server eingesetzte Bestandteile "schauen"
können.

@nibi030:
Habe heute auch in einer von uns eingesetzten Client Software nach log4j gesucht…
Die eingesetzte Version 1.x ist von 2006, bzw. das Importdatum.
Es muss aber grundsätzlich nicht schlecht sein, seine alte Software weiter einzusetzen.
Kommt erstmal auf den Anwendungsfall und das Sicherheitsrisiko an.

Bei uns kann man das Thema leider nicht schönreden.
Wir hängen mit einem Bein immer im Internet (Telefonie)
 
xActionx schrieb:
Warum soll das jetzt ein Argument gegen Open Source sein? Liegt doch auf der Hand warum Open Source besser ist. Bei proprietärer Software wüssten wir heute nichts von der Sicherheitslücke aber der Hersteller hätte den passenden Exploit Code dazu an die Geheimdienste verscherbelt.
Zum Vergrößern anklicken....
Oh boy, auf diese Aluhut-Diskussion lasse ich mich nicht ein.

Ich sagte übrigens nirgends etwas gegen Open Source, Du hast meinen Beitrag anscheinend absichtlich falsch verstanden. Ich sagte nur dass Open Source "nicht immer besser" ist. Nicht mehr, nicht weniger. Von einigen hier wird ja propagiert dass Open Source grundsätzlich immer vorzuziehen ist, und da widerspreche ich einfach.

6Pac schrieb:
Meist bekommt der Dienstleister zuerst eine auf die Mütze... leider
Der ist erster Ansprechpartner und die AGBs der Partnerverträge machen es möglich das der Hersteller oft erstmal raus ist.
Zum Vergrößern anklicken....
Kommt drauf an. Wir (als Dienstleister) müssen natürlich die Server / Software unserer Kunden patchen wenn es einen Patch gibt. Aber wir entwickeln den nicht, da kann der Kunde noch so Zeter und Mordio schreien. Seine Software, sein Problem.

Falls natürlich ein zentrales Bauteil oder zentraler Dienst (Firewalls, Switches, Hypervisor, Webserver) von UNS betroffen ist, dann müssen WIR an den Hersteller ran und denen auf die Füße treten, klar.


6Pac schrieb:
Proprietäre Software kommt selten ohne "open source" Bestandteile aus und sei es "nur" der Unterbau.
Warum das Rad wieder neu erfinden, wenn man sich an existierenden bedienen kann?
O-Ton Hersteller: "Vom Grund auf neu entwickelt" <-- jaja is klar ?
Zum Vergrößern anklicken....
Mach ich genau so, bevor ich selbst ein Script schreibe schau ich auch erst mal ob es da nicht schon was gibt. Ich hab gar nicht die Zeit um alles immer selbst neu zu entwickeln. :D

6Pac schrieb:
Uns stresst gerade das Thema proprietäre Software, da wir nicht auf die im Server eingesetzte Bestandteile "schauen"
können.
Zum Vergrößern anklicken....
I can relate. Wir setzen auch Software ein wo es in bestimmten Bereichen eine "Black Box" gibt, das kann echt nervig sein. Vor allem weil man dort nicht eingreifen kann.
 
raPid-81 schrieb:
Oh boy, auf diese Aluhut-Diskussion lasse ich mich nicht ein.

Ich sagte übrigens nirgends etwas gegen Open Source, Du hast meinen Beitrag anscheinend absichtlich falsch verstanden. Ich sagte nur dass Open Source "nicht immer besser" ist. Nicht mehr, nicht weniger. Von einigen hier wird ja propagiert dass Open Source grundsätzlich immer vorzuziehen ist, und da widerspreche ich einfach.
Zum Vergrößern anklicken....
"Aluhut"... Vor allem weil das bei Eternal Blue genau so passiert ist.

Mal ganz abgesehen davon, dass du keinerlei Szenarien vorbringen kannst, in denen Open Source nicht besser oder zumindest gleich gut ist.
 
xActionx schrieb:
"Aluhut"... Vor allem weil das bei Eternal Blue genau so passiert ist.

Mal ganz abgesehen davon, dass du keinerlei Szenarien vorbringen kannst, in denen Open Source nicht besser oder zumindest gleich gut ist.
Zum Vergrößern anklicken....
Jetzt geht's aber ab hier, Eternal Blue wurde von der NSA geheim gehalten, da wusste bis zur Meldung auch Microsoft nichts von. So die offizielle Version, alles andere ist wie gesagt "Aluhut", außer Du hast Belege die das Gegenteil beweisen.

Beispiele in denen ich proprietär für besser als Open Source halte. Achtung: persönliche Meinung! Das lässt sich am Ende eh niemals endgültig feststellen:

DLSS > FSR
Office > Open Office (wenn man das Gesamtpaket und die Pflege betrachtet)
Windows > Linux (wenn man die Anwenderfreundlichkeit und Kompatibilität betrachtet)

Genauso kann ich auch Beispiele liefern die ganz klar Open Source favorisieren. Wie gesagt, beides hat seine Vor- und Nachteile.
 
raPid-81 schrieb:
Jetzt geht's aber ab hier, Eternal Blue wurde von der NSA geheim gehalten, da wusste bis zur Meldung auch Microsoft nichts von. So die offizielle Version, alles andere ist wie gesagt "Aluhut", außer Du hast Belege die das Gegenteil beweisen.
Zum Vergrößern anklicken....
Ahhh ja alles ist heute Aluhut... Bin mir sicher Micro$oft will nur das beste für die Nutzer. Sowas wie einen NSL der M$ dazu zwingt das ganze nicht zu patchen existiert natürlich nicht. Wie kann man nach der Veröffentlichung von Xkeyscore, Prism und den restlichen Snowden-Leaks noch so blauäugig sein?
raPid-81 schrieb:
Beispiele in denen ich proprietär für besser als Open Source halte. Achtung: persönliche Meinung! Das lässt sich am Ende eh niemals endgültig feststellen:

DLSS > FSR
Office > Open Office (wenn man das Gesamtpaket und die Pflege betrachtet)
Zum Vergrößern anklicken....
DLSS und FSR kenne ich nicht gut genug um mir ein Urteil darüber bilden zu können, aber M$ Office ist ein sicherheitstechnischer Albtraum. Der Vergleich mit Libre wäre außerdem fairer und da hat M$ nicht viel entgegen zu setzten.
raPid-81 schrieb:
Windows > Linux (wenn man die Anwenderfreundlichkeit und Kompatibilität betrachtet)
Zum Vergrößern anklicken....
Und was ist wenn man jeden anderen Aspekt betrachtet? Da Linux eindeutig die Nase vorne. Mal ganz abgesehen davon, dass Kompatibilität ein zweischneidiges Schwert ist. Linux ist zu deutlich mehr Hardware kompatibel als Windows es ist.
raPid-81 schrieb:
Genauso kann ich auch Beispiele liefern die ganz klar Open Source favorisieren. Wie gesagt, beides hat seine Vor- und Nachteile.
Zum Vergrößern anklicken....
Nur, dass die Vorteile bei OpenSource überwiegen.
 
wuselsurfer schrieb:
Wann werden wir diese Kaffee-Software endlich nicht mehr benötigen?

Sogar viele Finanzprogramme funktionieren nicht ohne den Fehlerhaufen.
Zum Vergrößern anklicken....
Wieso Fehlerhaufen? Da draussen gibt es genauso viele verbuggte C/C++, C#,
Python, … Programme. :ugly:

Es liegt nicht an der Sprache, sondern am Entwickler.
xActionx schrieb:
Java macht es einem da aber schon deutlich einfacher als bspw. Python.
Zum Vergrößern anklicken....
Und warum bitte? Quelle?
 
hrIntelNvidia schrieb:
Wieso Fehlerhaufen? Da draussen gibt es genauso viele verbuggte C/C++, C#,
Python, … Programme. :ugly:

Es liegt nicht an der Sprache, sondern am Entwickler.

Und warum bitte? Quelle?
Zum Vergrößern anklicken....
Welche Quelle willst du da? Alleine die Tatsache, dass man in Java Datentypen managen muss und in Python nicht macht Java potenziell fehleranfälliger.

Hier sieht man auch, dass Software auf Java-Basis doppelt so häufig Schwachstellen aufweist, wie bspw. Python: https://www.whitesourcesoftware.com/most-secure-programming-languages/
 
xActionx schrieb:
Ahhh ja alles ist heute Aluhut... Bin mir sicher Micro$oft will nur das beste für die Nutzer. Sowas wie einen NSL der M$ dazu zwingt das ganze nicht zu patchen existiert natürlich nicht. Wie kann man nach der Veröffentlichung von Xkeyscore, Prism und den restlichen Snowden-Leaks noch so blauäugig sein?
Zum Vergrößern anklicken....
Verschwörungstheorien ohne Belege bleiben Theorien, da hilft auch keine "Naivitäts-Unterstellung". Microsoft möchte vorrangig Geld verdienen, für die Aktionäre, um seine Mitarbeiter zu bezahlen, usw. Sie verdienen kein Geld wenn ihre Software dauerhaft von großen Sicherheitslücken betroffen ist. Sowas hat schon einige Firmen die Existenz gekostet.


xActionx schrieb:
DLSS und FSR kenne ich nicht gut genug um mir ein Urteil darüber bilden zu können, aber M$ Office ist ein sicherheitstechnischer Albtraum. Der Vergleich mit Libre wäre außerdem fairer und da hat M$ nicht viel entgegen zu setzten.
Zum Vergrößern anklicken....
Ach MS hat nicht viel gegen Libre Office entgegen zu setzen? In welcher Welt?

Das gesamte Office Paket (Office + Exchange + Teams + zig weitere Integrationen) hat aktuell keine umfassende Konkurrenz. Das ist einer der Knackpunkte bei "proprietär" vs "open source" -> proprietär bekommst Du das Gesamtpaket und alles arbeitet "zusammen", open source musst du dir überall deine Teile zusammen suchen und es selbst zusammen frickeln (wenn das überhaupt möglich ist).

xActionx schrieb:
Und was ist wenn man jeden anderen Aspekt betrachtet? Da Linux eindeutig die Nase vorne. Mal ganz abgesehen davon, dass Kompatibilität ein zweischneidiges Schwert ist. Linux ist zu deutlich mehr Hardware kompatibel als Windows es ist.
Zum Vergrößern anklicken....
Welchen anderen Aspekt? Bleib doch bitte nicht so vage...

Performance? Da ist Windows Server nicht so schlecht.
Stabilität? Da ist Linux auf jeden Fall vorne, wobei da die letzten Windows Server Versionen (seit 2016) aufgeholt haben.

xActionx schrieb:
Nur, dass die Vorteile bei OpenSource überwiegen.
Zum Vergrößern anklicken....
Ja welche denn? Erzähl doch mal, oder bleibst Du immer so nebulös?
xActionx schrieb:
Welche Quelle willst du da? Alleine die Tatsache, dass man in Java Datentypen managen muss und in Python nicht macht Java potenziell fehleranfälliger.

Hier sieht man auch, dass Software auf Java-Basis doppelt so häufig Schwachstellen aufweist, wie bspw. Python: https://www.whitesourcesoftware.com/most-secure-programming-languages/
Zum Vergrößern anklicken....
Aber C ist unangefochten, mit Abstand, auf Platz 1 der letzten 10 Jahre:

1639428087781.png


Das relativiert die Aussage doch deutlich...
 
raPid-81 schrieb:
Verschwörungstheorien ohne Belege bleiben Theorien, da hilft auch keine "Naivitäts-Unterstellung". Microsoft möchte vorrangig Geld verdienen, für die Aktionäre, um seine Mitarbeiter zu bezahlen, usw. Sie verdienen kein Geld wenn ihre Software dauerhaft von großen Sicherheitslücken betroffen ist. Sowas hat schon einige Firmen die Existenz gekostet.
Zum Vergrößern anklicken....
Blödsinn... Das kannst du genau so wenig beweisen. Bekannt ist, dass M$ bereits mit CIA und NSA zusammengearbeitet hat. Gleiches gilt für andere Tech-Riesen wie AT&T, die sogar ganze Räume nur für die Wiretaps der NSA in den Rechenzentren hatten/haben. Wenn die Regierung nämlich entscheidet dich für ihre Zwecke zu missbrauchen, dann passiert das. Sonst lässt sich nämlich gar kein Geld mehr verdienen, weil die den Laden dicht machen oder zerschlagen.
raPid-81 schrieb:
Ach MS hat nicht viel gegen Libre Office entgegen zu setzen? In welcher Welt?
Zum Vergrößern anklicken....

raPid-81 schrieb:
Das gesamte Office Paket (Office + Exchange + Teams + zig weitere Integrationen) hat aktuell keine umfassende Konkurrenz. Das ist einer der Knackpunkte bei "proprietär" vs "open source" -> proprietär bekommst Du das Gesamtpaket und alles arbeitet "zusammen", open source musst du dir überall deine Teile zusammen suchen und es selbst zusammen frickeln (wenn das überhaupt möglich ist).
Zum Vergrößern anklicken....
Rein Feature-technisch nicht. Nur der Support ist besser. Den braucht man aber auch wenn regelmäßig schädliche Macros in der Windoof/Office/AD-Umgebung randalieren.
raPid-81 schrieb:
Welchen anderen Aspekt? Bleib doch bitte nicht so vage...

Performance? Da ist Windows Server nicht so schlecht.
Stabilität? Da ist Linux auf jeden Fall vorne, wobei da die letzten Windows Server Versionen (seit 2016) aufgeholt haben.
Zum Vergrößern anklicken....
Cluster-Support, Performance, Stabilität, Anpassungsfähigkeit, Boardmittel, Update-Workflows. Brauchst du noch mehr? Es hat schon seinen Grund, dass auf nahezu jedem Supercomputer Linux läuft und auf KEINEM Windows.
raPid-81 schrieb:
Ja welche denn? Erzähl doch mal, oder bleibst Du immer so nebulös?
Zum Vergrößern anklicken....
Code lässt sich einfach reviewen, keinerlei Kosten, Workarounds/Patches/Hotfixes sind i.d.R. schneller verfügbar, Software wird schneller portiert, Anpassungsfähigkeit und so weiter.

raPid-81 schrieb:
Aber C ist unangefochten, mit Abstand, auf Platz 1 der letzten 10 Jahre:

Anhang anzeigen 1382009

Das relativiert die Aussage doch deutlich...
Zum Vergrößern anklicken....
Ja und? Das weiß jeder das C und PHP noch beschissener sind... Inwiefern macht das Java jetzt besser?
 
Einloggen o. Registrieren zum Antworten.

Ähnliche Themen

PCGH-Redaktion
News Geforce RTX 4090 als "Skateboard" sorgt für Furore
2
Antworten
21
Aufrufe
1K
Schnitzelnator
S
PCGH-Redaktion
News Sicherheitslücke in allen Zen-2-Prozessoren: AMD rollt Firmware gegen Zenbleed aus
2
Antworten
20
Aufrufe
1K
PCGH_Torsten
PCGH_Torsten
PCGH-Redaktion
News WebP-Schwachstelle: Zahlreiche Browser, Apps und Messenger anfällig für Schadcode
Antworten
1
Aufrufe
756
empy
E
PCGH-Redaktion
News Diablo 4: KI-generierter Casemod sorgt auf Reddit für Furore
Antworten
9
Aufrufe
2K
Ishe
Ishe
PCGH-Redaktion
News CacheWarp: AMD verteilt Updates gegen Sicherheitslücke in SEV-ES und SEV-SNP
Antworten
5
Aufrufe
822
Pleasedontkillme
Pleasedontkillme
Oben Unten
Zurück