BSI warnt vor massiver Sicherheitslücke in der Java-Bibliothek Log4j

[RedMoon]

Ja vielen Dank BSI!!! 🤬
Diese Dreckslücke ist seit Jahren bekannt und niemanden hat es bisher geschert. Jetzt scheucht Ihr damit jeden Affen vom Baum, so dass ich mitten in meinem Urlaub von meinem Chef in die Firma zitiert werde, weil er eine Lösung erwartet, die ich nicht bieten kann. Ich habe ihm gesagt, wir schalten alles ab: VMware VSphere, Unifi Access Points, einige Linux Server, das Email-Gateway.... das hat ihm nicht so geschmeckt.

Also ehrlich, wer heutzutage noch einen IT Beruf ergreift, ist selbst schuld. Du musst vom USB Stick bis zur Produktionsmaschine alles aus dem FF beherrschen und bist trotzdem immer nur ein Kostenfaktor. Dann stehst du für jeden Scheiss gerade, den andere verbocken. Die IT ist schon lange kein technischer Bereich mehr, ich mache seit über 5 Jahren mehr Verwaltung und Organisation rund um IT-Themen als Technik. Ich hätte in der Elektrotechnik bleiben sollen

 

[ypsagent]

Ja vielen Dank BSI!!! 🤬
Diese Dreckslücke ist seit Jahren bekannt und niemanden hat es bisher geschert. Jetzt scheucht Ihr damit jeden Affen vom Baum, so dass ich mitten in meinem Urlaub von meinem Chef in die Firma zitiert werde, weil er eine Lösung erwartet, die ich nicht bieten kann. Ich habe ihm gesagt, wir schalten alles ab: VMware VSphere, Unifi Access Points, einige Linux Server, das Email-Gateway.... das hat ihm nicht so geschmeckt.

Also ehrlich, wer heutzutage noch einen IT Beruf ergreift, ist selbst schuld. Du musst vom USB Stick bis zur Produktionsmaschine alles aus dem FF beherrschen und bist trotzdem immer nur ein Kostenfaktor. Dann stehst du für jeden Scheiss gerade, den andere verbocken. Die IT ist schon lange kein technischer Bereich mehr, ich mache seit über 5 Jahren mehr Verwaltung und Organisation rund um IT-Themen als Technik. Ich hätte in der Elektrotechnik bleiben sollen

Gib nen schönes Meme dafür. Ist eigentlich nicht mehr die Frage das, nur noch wann....

 

[RedMoon]

Danke, das hilft

 

[disturbed rabbit]

Ja vielen Dank BSI!!! 🤬
Diese Dreckslücke ist seit Jahren bekannt und niemanden hat es bisher geschert.

Hast Du dafür irgendwelche Quellen?

 

[RedMoon]

Hast Du dafür irgendwelche Quellen?

ich hab schon vor Corona irgendwo mal gelesen, dass es in einigen Java Bibliotheken, die für Logfiles zuständig sind, Lücken gibt. Hört sich ziemlich nach Log4j an. Aber wo, weiss ich nicht mehr

 

[Gelöschtes Mitglied 144635]

Der Code dieser Lücke war knapp 8 Jahre lang offen einsehbar.
"OpenSource==Sicherheit" my ass...

Da ist er, mit seinem Trollversuch. Hier hast einen ><>

Beitrag automatisch zusammengeführt: 13.12.2021

Ja vielen Dank BSI!!! 🤬
Diese Dreckslücke ist seit Jahren bekannt und niemanden hat es bisher geschert. Jetzt scheucht Ihr damit jeden Affen vom Baum, so dass ich mitten in meinem Urlaub von meinem Chef in die Firma zitiert werde, weil er eine Lösung erwartet, die ich nicht bieten kann. Ich habe ihm gesagt, wir schalten alles ab: VMware VSphere, Unifi Access Points, einige Linux Server, das Email-Gateway.... das hat ihm nicht so geschmeckt.

Also ehrlich, wer heutzutage noch einen IT Beruf ergreift, ist selbst schuld. Du musst vom USB Stick bis zur Produktionsmaschine alles aus dem FF beherrschen und bist trotzdem immer nur ein Kostenfaktor. Dann stehst du für jeden Scheiss gerade, den andere verbocken. Die IT ist schon lange kein technischer Bereich mehr, ich mache seit über 5 Jahren mehr Verwaltung und Organisation rund um IT-Themen als Technik. Ich hätte in der Elektrotechnik bleiben sollen

Ja so eine Scheiße auch. Alles muss der können, nur kosten darf er nichts. Warum bin ich da nur reingeraten?

 

[RedMoon]

Ja so eine Scheiße auch. Alles muss der können, nur kosten darf er nichts. Warum bin ich da nur reingeraten?

ja genau Jammern auf hohem Niveau, zumindest bei mir

 

[Spackibert]

Unifi Access Points

Ich habe gestern das ganze Unifi-Zeug (2x Firma, 1x Zuhause) von Zuhause aus geupdatet - hat für die 3 Standorte keine Stunde gedauert

 

[RedMoon]

Ich habe gestern das ganze Unifi-Zeug (2x Firma, 1x Zuhause) von Zuhause aus geupdatet - hat für die 3 Standorte keine Stunde gedauert

meine Access Points bieten mir derzeit keine Firmware Updates an

 

[Spackibert]

meine Access Points bieten mir derzeit keine Firmware Updates an

Die APs selbst dürften auch nicht direkt betroffen sein, sondern nur die Controller-Software - so jedenfalls mein Verständnis

 

[RedMoon]

Die APs selbst dürften auch nicht direkt betroffen sein, sondern nur die Controller-Software - so jedenfalls mein Verständnis

die Controller Software habe ich gestern auch schon aktualisiert. Ob die APs safe sind, konnte ich nicht in Erfahrung bringen.

 

[Spackibert]

die Controller Software habe ich gestern auch schon aktualisiert. Ob die APs safe sind, konnte ich nicht in Erfahrung bringen.

Ich habe bei der Update-Orgie gestern immerhin bemerkt, dass meine 4 Stück UAP-PRO seit Anfang diesen Jahres aus dem Support herausgefallen sind und ohnehin keine Patches mehr bekommen

 

[RedMoon]

dann kann man nur hoffen, dass die APs nicht betroffen sind

 

[Spackibert]

Die müssen jetzt auf jeden Fall über die Feiertage ersetzt werden. Endlich neue Arbeit nach einem langen Jahr voller Arbeit 💪💪💪

 

[Infin1tum]

Also ist jetzt Minecraft Bedrock > Java?

 

[raev]

Tja, und was bedeutet das nun für uns Endanwender? Gibts irgendwo eine Liste betroffener Programme und Apps?

hier mal übersichtlich inkl. gelisteter fixes bzw. workarounds: https://github.com/NCSC-NL/log4shell/blob/main/software/README.md

 

[Techlogi]

meine Access Points bieten mir derzeit keine Firmware Updates an

Ich hab gestern FW 5.43.52 vom 18.11. installiert, welche laut DL Portal auch noch die letzte FW ist.

 

[Spackibert]

Ich hab gestern FW 5.43.52 vom 18.11. installiert, welche laut DL Portal auch noch die letzte FW ist.

Ungefähr am 18.11. kam die Controller-Version 6.5.53, welche noch keinen Fix für das log4j-Problem beinhaltet. Sollten APs also grundsätzlich auch betroffen sein, sind diese mit Softwarestand von 18.11. potentiell nicht sicher

 

[Techlogi]

@Spackibert Das sehe ich auch so. Den Controller konnte ich noch nicht updaten. Der läuft in einem truenas jail und dort ist die aktuelle Version noch nicht verfügbar.
Wie hoch ist denn das Risiko im Lan, wenn die Dienste nicht von extern erreichbar sind?

 

[disturbed rabbit]

ich hab schon vor Corona irgendwo mal gelesen, dass es in einigen Java Bibliotheken, die für Logfiles zuständig sind, Lücken gibt. Hört sich ziemlich nach Log4j an. Aber wo, weiss ich nicht mehr

Also absolut keine Quelle und absolut keine Relevanz zur derzeitigen Situation. Viel Gelaber von Dir um absolut nichts. Es gab auch schon früher Sicherheitslücken, wie bei jeder Software, siehe https://www.cvedetails.com/product/37215/Apache-Log4j.html?vendor_id=45

Bitte poste keine Falschinformationen darüber das diese Lücke schon seit Jahren bekannt ist nur um dich zu profilieren oder liefere richtige Quellen.

 

[raev]

Ungefähr am 18.11. kam die Controller-Version 6.5.53, welche noch keinen Fix für das log4j-Problem beinhaltet. Sollten APs also grundsätzlich auch betroffen sein, sind diese mit Softwarestand von 18.11. potentiell nicht sicher

Die APs sind nicht betroffen, der Controller in Version prä 6.5.54 schon.

https://community.ui.com/releases/Security-Advisory-Bulletin-023-023/808a1db0-5f8e-4b91-9097-9822f3f90207

 

[RedMoon]

Also absolut keine Quelle und absolut keine Relevanz zur derzeitigen Situation. Viel Gelaber von Dir um absolut nichts. Es gab auch schon früher Sicherheitslücken, wie bei jeder Software, siehe https://www.cvedetails.com/product/37215/Apache-Log4j.html?vendor_id=45

Bitte poste keine Falschinformationen darüber das diese Lücke schon seit Jahren bekannt ist nur um dich zu profilieren oder liefere richtige Quellen.

sag mal, kannst du mich mal in Ruhe lassen? Dann spring eben nicht auf den Zug auf, wenns dir nicht passt.

 

[DragonTear]

sag mal, kannst du mich mal in Ruhe lassen? Dann spring eben nicht auf den Zug auf, wenns dir nicht passt.

raev hat völlig recht, wollte dich auch grad fragen was deine Quelle ist...

Nee, eine solch grosse Lücke war definitiv nicht öffentlich bekannt. Es gibt da schon genug Leute da draussen die dafür sorgen dass sowas nicht für Monate geschweige denn Jahre unterm Tisch fällt.

 

[RedMoon]

raev hat völlig recht, wollte dich auch grad fragen was deine Quelle ist...

Nee, eine solch grosse Lücke war definitiv nicht öffentlich bekannt. Es gibt da schon genug Leute da draussen die dafür sorgen dass sowas nicht für Monate geschweige denn Jahre unterm Tisch fällt.

ich weiß es nicht. Ich lese tagtäglich irgendwelche IT Artikel: iX, CIO, Heise... auch sicherheitsrelevante von Security Anbietern (Fortinet, Sophos, Symantec...) und auch den Jahresbericht des BSI jedes Jahr, den ich noch gestern per Post bekommen habe. Mag sein, dass ich Log4j auch mit etwas anderem verwechsle. Ich weiß nur, dass ich vor Jahren mal von etwas ähnlichem in Java Bibliotheken in Verbindung mit Apache Servern gelesen habe. Aber wie gesagt, wann und wo: kein Plan

Ich bin einfach nur genervt von dieser Schei..e, da ich in diesem Jahr noch keinen einzigen Tag frei hatte und jetzt wo ich im Dezember (!) noch 30 Tage Urlaub abbauen soll, kommt dieser Mist hoch. Mit dem Exchange Chaos im Frühjahr war es genau so. Du springst in der IT derzeit einfach nur im Eck herum und spielst Feuerwehr. Dabei kann ich das auch nicht delegieren, da meine Admins alle nur Seiteneinsteiger für den 1st-Level Support sind. Und externe sind jetzt wieder alle voll ausgebucht

Nichts für Ungut @all