BSI warnt vor massiver Sicherheitslücke in der Java-Bibliothek Log4j

HWL News Bot

HWL News Bot

News
Thread Starter
Mitglied seit
06.03.2017
Beiträge
113.553
bundesnetzagentur.png

... weiterlesen
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Tja, und was bedeutet das nun für uns Endanwender? Gibts irgendwo eine Liste betroffener Programme und Apps?
 
Kurbalaganta schrieb:
Tja, und was bedeutet das nun für uns Endanwender? Gibts irgendwo eine Liste betroffener Programme und Apps?
Zum Vergrößern anklicken....
So eine News würde Recherche beanspruchen und das gibt es hier nicht.

Bei Heise wird etwas von Ubiquiti, Cisco und noch irgendwas erwähnt.
Natürlich nicht alles was die jeweiligen Hersteller anbieten, aber an Teil davon und von Ubiquiti gab es für irgendeine Softwarekomponente auch bereits einen Fix, dieser muss natürlich eingespielt werden.

*edit*
Gerade auch als Update im Heise Artikel gefunden.
github.com

GitHub - YfryTchsGD/Log4jAttackSurface

Contribute to YfryTchsGD/Log4jAttackSurface development by creating an account on GitHub.
github.com github.com
 
Zuletzt bearbeitet:
Kurbalaganta schrieb:
Tja, und was bedeutet das nun für uns Endanwender? Gibts irgendwo eine Liste betroffener Programme und Apps?
Zum Vergrößern anklicken....
Es ist eine Logging library. Die läuft also zum allergrössten Teil auf Servern. Endnutzeranwendungen sind nicht direkt in Gefahr, aber eventuell Kundendaten auf Servern.
Die Liste der Betroffenen könnte leider einige Seiten füllen... log4j war schon quasi der Standard als ich studiert hab (ist ja normalerweise auch keine schlechte library)...
 
Kurbalaganta schrieb:
Tja, und was bedeutet das nun für uns Endanwender? Gibts irgendwo eine Liste betroffener Programme und Apps?
Zum Vergrößern anklicken....
Keine Ahnung, ob das gut recherchiert ist, aber der Spiegel spricht von "Amazons Server-Dienst AWS, Apples iCloud oder die Gaming-Plattform Steam."

www.spiegel.de

Log4j-Schwachstelle: »Leider machen auch Hacker Überstunden«

Deutschlands IT-Sicherheitsbehörde warnt auf höchster Stufe, sogar die Arbeit der NSA war zeitweise gefährdet. Im Netz tobt gerade ein Rennen zwischen guten und bösen Hackern. Grund ist eine schwere Sicherheitslücke.
www.spiegel.de www.spiegel.de
 
Java war doch schon seit jeher ein Garant für offene Scheunentore. Frage ist halt ob es auch ohne Java überhaupt geht?
 
Quelle MSN, copy /paste post

Die Log4j-Lücke bedeutet nicht nur Alarmstufe Rot für Unternehmen, sondern auch private Nutzer*innen können von den Auswirkungen der Lücke betroffen sein, erklärt Sophos. Das gilt vor allem dann, wenn Privatpersonen Cloud-Server nutzen, die von einem Hosting-Unternehmen oder einem anderen Managed-Service-Provider betrieben werden – sei es ein Blog, ein Forum oder die Familienwebsite. Hier gilt es nun zunächst einmal herauszufinden, ob diese Services angreifbar und wann Patches geplant sind.

Auch große Unternehmen wie Steam, Apple, Twitter und Amazon sollen von dem ernstzunehmenden Sicherheitsrisiko nicht ausgeschlossen sein.
 
(rhetorische Frage)
wenn die Lücke seit 8 Jahren klafft warum hat man es jetzt so eilig ?
 
Weil die Sicherheitslücke erst jetzt zum Vorschein kam.
 
Spackibert schrieb:
Open Source + externer Audit = Sicherheit

Niemand behauptet, dass Open Source allein Sicherheit garantiert.
Zum Vergrößern anklicken....
Ist der (oder ein) Gedanke von Open Source nicht, dass eine aktive Community die Software pflegt?
Ein "richtiger" Audit sollte damit eigentlich unnötig werden.
 
Ycon schrieb:
Ist der (oder ein) Gedanke von Open Source nicht, dass eine aktive Community die Software pflegt?
Ein "richtiger" Audit sollte damit eigentlich unnötig werden.
Zum Vergrößern anklicken....
Diese aktive "Community" dieser äußerst zentralen Komponente besteht zum größten Teil aus genau einer Privatperson.
Und nur weil die Community aktiv ist, heißt das auch nicht dass sie alle Securityexperten sind. Deswegen engagiert man für sowas Spezialisten, die das WIssen und auch die Mittel haben solche ausgedehnten Tests durchzuführen.
Es lässt sich auch nicht alles einfach mal eben Testen. Das sind sehr komplexe Zusammenhänge die man durchsteigen muss.

Kurzum: Man kann durchaus wesentlich mehr für die Sicherheit tun. Aber nicht mit einer Privatperson.
 
Ycon schrieb:
Ist der (oder ein) Gedanke von Open Source nicht, dass eine aktive Community die Software pflegt?
Zum Vergrößern anklicken....
Der Gedanke von Open Source ist die freie Verfügbarkeit des Quelltextes sowie dessen Nutzbarkeit (nicht zwingend kostenlose Nutzbarkeit!) durch Dritte.

Ob die Software durch eine grosse, aktive Community gepflegt wird oder es ausser meinem ersten Commit keine weiteren Beiträge gab, ist unerheblich.
 
Armadillo schrieb:
Diese aktive "Community" dieser äußerst zentralen Komponente besteht zum größten Teil aus genau einer Privatperson.
Und nur weil die Community aktiv ist, heißt das auch nicht dass sie alle Securityexperten sind. Deswegen engagiert man für sowas Spezialisten, die das WIssen und auch die Mittel haben solche ausgedehnten Tests durchzuführen.
Es lässt sich auch nicht alles einfach mal eben Testen. Das sind sehr komplexe Zusammenhänge die man durchsteigen muss.

Kurzum: Man kann durchaus wesentlich mehr für die Sicherheit tun. Aber nicht mit einer Privatperson.
Zum Vergrößern anklicken....
Ja wohl wahr. Darum ist die wahrscheinlichkeit einen Audit vorzufinden, bei einer Software die ein Unternehmem für Geld verkauft, höher als bei Community Projekten...
 
DragonTear schrieb:
Darum ist die wahrscheinlichkeit einen Audit vorzufinden, bei einer Software die ein Unternehmem für Geld verkauft, höher als bei Community Projekten...
Zum Vergrößern anklicken....
Generell wird dir auffallen, dass Produkte von großen Firmen, die etwas hauptberuflich machen, besser sind als handgestrickte 1-Mann-Projekte.

Deshalb fährst du ja auch ein Auto eines am Markt etablierten Herstellers, welcher mit Gewinnerzielungsabsicht handelt.
 
Stellt sich mir die Frage warum jetzt auch die "Großen" betroffen sind, die sich ja ihre proprietäre/close-source Lösung hätten zusammenschrauben können..
Oder mal eher als ein KMU hätten überprüfen können was sie sich da ins Haus holen..

Also insofern bezweifel ich, dass man das Verallgemeinern sollte. Es gibt gute OpenSource software.. es gibt aber auch Closed-Source RanzWare..

Da es im Heise-Forum noch jemand schrieb: Will man ggf lieber nur eine Schadensersatz und Ladungsfähige Addresse, an deren Stelle nach dem ersten Verfahren nurnoch rauchende Ruinen zu besichtigen sind.. damit man selbst nicht schuld ist.. statt zu sagen dass man ein OpenSource-Projekt mit einem Audit unterstützt, dann dafür ausser "Gewissheit und Sichterheit" kein Return of Investment hat?
 
Kurbalaganta schrieb:
Tja, und was bedeutet das nun für uns Endanwender? Gibts irgendwo eine Liste betroffener Programme und Apps?
Zum Vergrößern anklicken....
kann es gar nicht geben. da gibts millionen kleiner spezialanwendungen, die mit java laufen und offenbar nutzen die allermeisten davon diese bibliothek.
 
DragonTear schrieb:
Ja wohl wahr. Darum ist die wahrscheinlichkeit einen Audit vorzufinden, bei einer Software die ein Unternehmem für Geld verkauft, höher als bei Community Projekten...
Zum Vergrößern anklicken....
hahaha ja klar. Wenn man extrem naiv ist, dann kann man sowas glauben. 😂
 
Ich sag dir aus Berufserfahrung, dass es nicht so ist.. wer hat nu recht und wie lässt sich das validieren?

Fakt ist aber das OpenSource gerne weitflächig verwendung findet, aber die wenigsten Unternehmen dann doch selbst mal drüber schaun bevor genutzt wird... Oder warum erweisen sich Bugs in OpenSource-Software dann plötzlich als dermaßen fatal wenn man eigentlich wissen sollte was man da ggf in die kritische Infrastruktur seiner Kunden kippt? ^^
 
Wenn es nur Java betreffen würde ... Log4* wird in vielen unterschiedlichen Varianten für unterschiedliche Programmierspachen verwendet, bspw. als Log4Net für die .Net-Welt.
Als Logging-Bibliothek sehr interessant, kann derartige Software in fast jedem Software-Produkt auftreten, ob Spiel oder Programm/App. Adobe hat die Probleme für die CS-Suite und vermutlich viele Spiele, Büroanwendungen und Webseiten/-anwendungen werden betroffen sein.
 
Cynish schrieb:
Fakt ist aber das OpenSource gerne weitflächig verwendung findet, aber die wenigsten Unternehmen dann doch selbst mal drüber schaun bevor genutzt wird...
Zum Vergrößern anklicken....
Genau das ist leider das Hauptproblem. Es wird immer gerne FOSS genutzt, aber etwas selbst dazu beitragen, zu donaten oder mal über den Code schauen zu lassen, dafür will man natürlich kein Geld/Ressourcen in die Hand nehmen.
 
sch4kal schrieb:
Genau das ist leider das Hauptproblem. Es wird immer gerne FOSS genutzt, aber etwas selbst dazu beitragen, zu donaten oder mal über den Code schauen zu lassen, dafür will man natürlich kein Geld/Ressourcen in die Hand nehmen.
Zum Vergrößern anklicken....
Security Experten sind nochmal eine Stufe teurer als Programmierer. Dann kann man gleich in-house entwickeln und hat etwas Security durch Obscurity :/
 
DragonTear schrieb:
Security Experten sind nochmal eine Stufe teurer als Programmierer. Dann kann man gleich in-house entwickeln und hat etwas Security durch Obscurity :/
Zum Vergrößern anklicken....
Das hat damit ja nix zu tun, außerdem können Senior Software Developer oder Architekten genauso teuer sein.
In-House Entwicklung ist auch nicht immer der richtige Weg, man sollte aber immer einen Blackbox/Whitebox-Audit beauftragen, oder selbst durchführen.
Aber selbst das schützt natürlich nicht immer...

Hier gehts ja auch mehr um die Kritik, FOSS Software im großen Stil einzusetzen, aber nix dazu beitragen zu wollen.
 
Anmelden, um zu antworten.

Ähnliche Themen

HWL News Bot
BSI warnt: Tausende deutscher Exchange-Server angreifbar
Antworten
0
Aufrufe
197
HWL News Bot
HWL News Bot
HWL News Bot
Schwere Sicherheitslücke: Samsung aktualisiert Magician-Tool
Antworten
6
Aufrufe
724
KevinGer
K
HWL News Bot
EPYC, Ryzen und Ultrascale: AMD meldet zahlreiche Sicherheitslücken
Antworten
10
Aufrufe
1K
FirstAid
FirstAid
HWL News Bot
WebP 0-Day-Lücke: Google weist neue CVE für libwebp-Sicherheitslücke zu
Antworten
5
Aufrufe
778
BobbyD
BobbyD
HWL News Bot
AGESA 1.2.0.Ca: AMD schließt Zenbleed-Sicherheitslücke
Antworten
18
Aufrufe
2K
Schugy
S
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh