BSI warnt vor massiver Sicherheitslücke in der Java-Bibliothek Log4j

Thread Starter
Mitglied seit
06.03.2017
Beiträge
113.945
bundesnetzagentur.png

... weiterlesen
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Tja, und was bedeutet das nun für uns Endanwender? Gibts irgendwo eine Liste betroffener Programme und Apps?
 
Tja, und was bedeutet das nun für uns Endanwender? Gibts irgendwo eine Liste betroffener Programme und Apps?
So eine News würde Recherche beanspruchen und das gibt es hier nicht.

Bei Heise wird etwas von Ubiquiti, Cisco und noch irgendwas erwähnt.
Natürlich nicht alles was die jeweiligen Hersteller anbieten, aber an Teil davon und von Ubiquiti gab es für irgendeine Softwarekomponente auch bereits einen Fix, dieser muss natürlich eingespielt werden.

*edit*
Gerade auch als Update im Heise Artikel gefunden.
 
Zuletzt bearbeitet:
Tja, und was bedeutet das nun für uns Endanwender? Gibts irgendwo eine Liste betroffener Programme und Apps?
Es ist eine Logging library. Die läuft also zum allergrössten Teil auf Servern. Endnutzeranwendungen sind nicht direkt in Gefahr, aber eventuell Kundendaten auf Servern.
Die Liste der Betroffenen könnte leider einige Seiten füllen... log4j war schon quasi der Standard als ich studiert hab (ist ja normalerweise auch keine schlechte library)...
 
Tja, und was bedeutet das nun für uns Endanwender? Gibts irgendwo eine Liste betroffener Programme und Apps?
Keine Ahnung, ob das gut recherchiert ist, aber der Spiegel spricht von "Amazons Server-Dienst AWS, Apples iCloud oder die Gaming-Plattform Steam."

 
Java war doch schon seit jeher ein Garant für offene Scheunentore. Frage ist halt ob es auch ohne Java überhaupt geht?
 
Quelle MSN, copy /paste post

Die Log4j-Lücke bedeutet nicht nur Alarmstufe Rot für Unternehmen, sondern auch private Nutzer*innen können von den Auswirkungen der Lücke betroffen sein, erklärt Sophos. Das gilt vor allem dann, wenn Privatpersonen Cloud-Server nutzen, die von einem Hosting-Unternehmen oder einem anderen Managed-Service-Provider betrieben werden – sei es ein Blog, ein Forum oder die Familienwebsite. Hier gilt es nun zunächst einmal herauszufinden, ob diese Services angreifbar und wann Patches geplant sind.

Auch große Unternehmen wie Steam, Apple, Twitter und Amazon sollen von dem ernstzunehmenden Sicherheitsrisiko nicht ausgeschlossen sein.
 
(rhetorische Frage)
wenn die Lücke seit 8 Jahren klafft warum hat man es jetzt so eilig ?
 
Weil die Sicherheitslücke erst jetzt zum Vorschein kam.
 
Open Source + externer Audit = Sicherheit

Niemand behauptet, dass Open Source allein Sicherheit garantiert.
Ist der (oder ein) Gedanke von Open Source nicht, dass eine aktive Community die Software pflegt?
Ein "richtiger" Audit sollte damit eigentlich unnötig werden.
 
Ist der (oder ein) Gedanke von Open Source nicht, dass eine aktive Community die Software pflegt?
Ein "richtiger" Audit sollte damit eigentlich unnötig werden.
Diese aktive "Community" dieser äußerst zentralen Komponente besteht zum größten Teil aus genau einer Privatperson.
Und nur weil die Community aktiv ist, heißt das auch nicht dass sie alle Securityexperten sind. Deswegen engagiert man für sowas Spezialisten, die das WIssen und auch die Mittel haben solche ausgedehnten Tests durchzuführen.
Es lässt sich auch nicht alles einfach mal eben Testen. Das sind sehr komplexe Zusammenhänge die man durchsteigen muss.

Kurzum: Man kann durchaus wesentlich mehr für die Sicherheit tun. Aber nicht mit einer Privatperson.
 
Ist der (oder ein) Gedanke von Open Source nicht, dass eine aktive Community die Software pflegt?
Der Gedanke von Open Source ist die freie Verfügbarkeit des Quelltextes sowie dessen Nutzbarkeit (nicht zwingend kostenlose Nutzbarkeit!) durch Dritte.

Ob die Software durch eine grosse, aktive Community gepflegt wird oder es ausser meinem ersten Commit keine weiteren Beiträge gab, ist unerheblich.
 
Diese aktive "Community" dieser äußerst zentralen Komponente besteht zum größten Teil aus genau einer Privatperson.
Und nur weil die Community aktiv ist, heißt das auch nicht dass sie alle Securityexperten sind. Deswegen engagiert man für sowas Spezialisten, die das WIssen und auch die Mittel haben solche ausgedehnten Tests durchzuführen.
Es lässt sich auch nicht alles einfach mal eben Testen. Das sind sehr komplexe Zusammenhänge die man durchsteigen muss.

Kurzum: Man kann durchaus wesentlich mehr für die Sicherheit tun. Aber nicht mit einer Privatperson.
Ja wohl wahr. Darum ist die wahrscheinlichkeit einen Audit vorzufinden, bei einer Software die ein Unternehmem für Geld verkauft, höher als bei Community Projekten...
 
Darum ist die wahrscheinlichkeit einen Audit vorzufinden, bei einer Software die ein Unternehmem für Geld verkauft, höher als bei Community Projekten...
Generell wird dir auffallen, dass Produkte von großen Firmen, die etwas hauptberuflich machen, besser sind als handgestrickte 1-Mann-Projekte.

Deshalb fährst du ja auch ein Auto eines am Markt etablierten Herstellers, welcher mit Gewinnerzielungsabsicht handelt.
 
Stellt sich mir die Frage warum jetzt auch die "Großen" betroffen sind, die sich ja ihre proprietäre/close-source Lösung hätten zusammenschrauben können..
Oder mal eher als ein KMU hätten überprüfen können was sie sich da ins Haus holen..

Also insofern bezweifel ich, dass man das Verallgemeinern sollte. Es gibt gute OpenSource software.. es gibt aber auch Closed-Source RanzWare..

Da es im Heise-Forum noch jemand schrieb: Will man ggf lieber nur eine Schadensersatz und Ladungsfähige Addresse, an deren Stelle nach dem ersten Verfahren nurnoch rauchende Ruinen zu besichtigen sind.. damit man selbst nicht schuld ist.. statt zu sagen dass man ein OpenSource-Projekt mit einem Audit unterstützt, dann dafür ausser "Gewissheit und Sichterheit" kein Return of Investment hat?
 
Tja, und was bedeutet das nun für uns Endanwender? Gibts irgendwo eine Liste betroffener Programme und Apps?
kann es gar nicht geben. da gibts millionen kleiner spezialanwendungen, die mit java laufen und offenbar nutzen die allermeisten davon diese bibliothek.
 
Ja wohl wahr. Darum ist die wahrscheinlichkeit einen Audit vorzufinden, bei einer Software die ein Unternehmem für Geld verkauft, höher als bei Community Projekten...
hahaha ja klar. Wenn man extrem naiv ist, dann kann man sowas glauben. 😂
 
Ich sag dir aus Berufserfahrung, dass es nicht so ist.. wer hat nu recht und wie lässt sich das validieren?

Fakt ist aber das OpenSource gerne weitflächig verwendung findet, aber die wenigsten Unternehmen dann doch selbst mal drüber schaun bevor genutzt wird... Oder warum erweisen sich Bugs in OpenSource-Software dann plötzlich als dermaßen fatal wenn man eigentlich wissen sollte was man da ggf in die kritische Infrastruktur seiner Kunden kippt? ^^
 
Wenn es nur Java betreffen würde ... Log4* wird in vielen unterschiedlichen Varianten für unterschiedliche Programmierspachen verwendet, bspw. als Log4Net für die .Net-Welt.
Als Logging-Bibliothek sehr interessant, kann derartige Software in fast jedem Software-Produkt auftreten, ob Spiel oder Programm/App. Adobe hat die Probleme für die CS-Suite und vermutlich viele Spiele, Büroanwendungen und Webseiten/-anwendungen werden betroffen sein.
 
Fakt ist aber das OpenSource gerne weitflächig verwendung findet, aber die wenigsten Unternehmen dann doch selbst mal drüber schaun bevor genutzt wird...
Genau das ist leider das Hauptproblem. Es wird immer gerne FOSS genutzt, aber etwas selbst dazu beitragen, zu donaten oder mal über den Code schauen zu lassen, dafür will man natürlich kein Geld/Ressourcen in die Hand nehmen.
 
Genau das ist leider das Hauptproblem. Es wird immer gerne FOSS genutzt, aber etwas selbst dazu beitragen, zu donaten oder mal über den Code schauen zu lassen, dafür will man natürlich kein Geld/Ressourcen in die Hand nehmen.
Security Experten sind nochmal eine Stufe teurer als Programmierer. Dann kann man gleich in-house entwickeln und hat etwas Security durch Obscurity :/
 
Security Experten sind nochmal eine Stufe teurer als Programmierer. Dann kann man gleich in-house entwickeln und hat etwas Security durch Obscurity :/
Das hat damit ja nix zu tun, außerdem können Senior Software Developer oder Architekten genauso teuer sein.
In-House Entwicklung ist auch nicht immer der richtige Weg, man sollte aber immer einen Blackbox/Whitebox-Audit beauftragen, oder selbst durchführen.
Aber selbst das schützt natürlich nicht immer...

Hier gehts ja auch mehr um die Kritik, FOSS Software im großen Stil einzusetzen, aber nix dazu beitragen zu wollen.
 
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh