BSI warnt vor massiver Sicherheitslücke in der Java-Bibliothek Log4j

Ja vielen Dank BSI!!! 🤬
Diese Dreckslücke ist seit Jahren bekannt und niemanden hat es bisher geschert. Jetzt scheucht Ihr damit jeden Affen vom Baum, so dass ich mitten in meinem Urlaub von meinem Chef in die Firma zitiert werde, weil er eine Lösung erwartet, die ich nicht bieten kann. Ich habe ihm gesagt, wir schalten alles ab: VMware VSphere, Unifi Access Points, einige Linux Server, das Email-Gateway.... das hat ihm nicht so geschmeckt.

Also ehrlich, wer heutzutage noch einen IT Beruf ergreift, ist selbst schuld. Du musst vom USB Stick bis zur Produktionsmaschine alles aus dem FF beherrschen und bist trotzdem immer nur ein Kostenfaktor. Dann stehst du für jeden Scheiss gerade, den andere verbocken. Die IT ist schon lange kein technischer Bereich mehr, ich mache seit über 5 Jahren mehr Verwaltung und Organisation rund um IT-Themen als Technik. Ich hätte in der Elektrotechnik bleiben sollen :grrr:
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Ja vielen Dank BSI!!! 🤬
Diese Dreckslücke ist seit Jahren bekannt und niemanden hat es bisher geschert. Jetzt scheucht Ihr damit jeden Affen vom Baum, so dass ich mitten in meinem Urlaub von meinem Chef in die Firma zitiert werde, weil er eine Lösung erwartet, die ich nicht bieten kann. Ich habe ihm gesagt, wir schalten alles ab: VMware VSphere, Unifi Access Points, einige Linux Server, das Email-Gateway.... das hat ihm nicht so geschmeckt.

Also ehrlich, wer heutzutage noch einen IT Beruf ergreift, ist selbst schuld. Du musst vom USB Stick bis zur Produktionsmaschine alles aus dem FF beherrschen und bist trotzdem immer nur ein Kostenfaktor. Dann stehst du für jeden Scheiss gerade, den andere verbocken. Die IT ist schon lange kein technischer Bereich mehr, ich mache seit über 5 Jahren mehr Verwaltung und Organisation rund um IT-Themen als Technik. Ich hätte in der Elektrotechnik bleiben sollen :grrr:
Gib nen schönes Meme dafür. Ist eigentlich nicht mehr die Frage das, nur noch wann....
4.png
 
Der Code dieser Lücke war knapp 8 Jahre lang offen einsehbar.
"OpenSource==Sicherheit" my ass...
Da ist er, mit seinem Trollversuch. Hier hast einen ><>
Beitrag automatisch zusammengeführt:

Ja vielen Dank BSI!!! 🤬
Diese Dreckslücke ist seit Jahren bekannt und niemanden hat es bisher geschert. Jetzt scheucht Ihr damit jeden Affen vom Baum, so dass ich mitten in meinem Urlaub von meinem Chef in die Firma zitiert werde, weil er eine Lösung erwartet, die ich nicht bieten kann. Ich habe ihm gesagt, wir schalten alles ab: VMware VSphere, Unifi Access Points, einige Linux Server, das Email-Gateway.... das hat ihm nicht so geschmeckt.

Also ehrlich, wer heutzutage noch einen IT Beruf ergreift, ist selbst schuld. Du musst vom USB Stick bis zur Produktionsmaschine alles aus dem FF beherrschen und bist trotzdem immer nur ein Kostenfaktor. Dann stehst du für jeden Scheiss gerade, den andere verbocken. Die IT ist schon lange kein technischer Bereich mehr, ich mache seit über 5 Jahren mehr Verwaltung und Organisation rund um IT-Themen als Technik. Ich hätte in der Elektrotechnik bleiben sollen :grrr:
Ja so eine Scheiße auch. Alles muss der können, nur kosten darf er nichts.:poop: Warum bin ich da nur reingeraten?
 
Zuletzt bearbeitet von einem Moderator:
die Controller Software habe ich gestern auch schon aktualisiert. Ob die APs safe sind, konnte ich nicht in Erfahrung bringen.
Ich habe bei der Update-Orgie gestern immerhin bemerkt, dass meine 4 Stück UAP-PRO seit Anfang diesen Jahres aus dem Support herausgefallen sind und ohnehin keine Patches mehr bekommen :fresse:
 
Die müssen jetzt auf jeden Fall über die Feiertage ersetzt werden. Endlich neue Arbeit nach einem langen Jahr voller Arbeit 💪💪💪
 
Also ist jetzt Minecraft Bedrock > Java?
 
Ich hab gestern FW 5.43.52 vom 18.11. installiert, welche laut DL Portal auch noch die letzte FW ist.
Ungefähr am 18.11. kam die Controller-Version 6.5.53, welche noch keinen Fix für das log4j-Problem beinhaltet. Sollten APs also grundsätzlich auch betroffen sein, sind diese mit Softwarestand von 18.11. potentiell nicht sicher
 
@Spackibert Das sehe ich auch so. Den Controller konnte ich noch nicht updaten. Der läuft in einem truenas jail und dort ist die aktuelle Version noch nicht verfügbar.
Wie hoch ist denn das Risiko im Lan, wenn die Dienste nicht von extern erreichbar sind?
 
ich hab schon vor Corona irgendwo mal gelesen, dass es in einigen Java Bibliotheken, die für Logfiles zuständig sind, Lücken gibt. Hört sich ziemlich nach Log4j an. Aber wo, weiss ich nicht mehr
Also absolut keine Quelle und absolut keine Relevanz zur derzeitigen Situation. Viel Gelaber von Dir um absolut nichts. Es gab auch schon früher Sicherheitslücken, wie bei jeder Software, siehe https://www.cvedetails.com/product/37215/Apache-Log4j.html?vendor_id=45

Bitte poste keine Falschinformationen darüber das diese Lücke schon seit Jahren bekannt ist nur um dich zu profilieren oder liefere richtige Quellen.
 
Also absolut keine Quelle und absolut keine Relevanz zur derzeitigen Situation. Viel Gelaber von Dir um absolut nichts. Es gab auch schon früher Sicherheitslücken, wie bei jeder Software, siehe https://www.cvedetails.com/product/37215/Apache-Log4j.html?vendor_id=45

Bitte poste keine Falschinformationen darüber das diese Lücke schon seit Jahren bekannt ist nur um dich zu profilieren oder liefere richtige Quellen.
sag mal, kannst du mich mal in Ruhe lassen? Dann spring eben nicht auf den Zug auf, wenns dir nicht passt.
 
sag mal, kannst du mich mal in Ruhe lassen? Dann spring eben nicht auf den Zug auf, wenns dir nicht passt.
raev hat völlig recht, wollte dich auch grad fragen was deine Quelle ist...

Nee, eine solch grosse Lücke war definitiv nicht öffentlich bekannt. Es gibt da schon genug Leute da draussen die dafür sorgen dass sowas nicht für Monate geschweige denn Jahre unterm Tisch fällt.
 
raev hat völlig recht, wollte dich auch grad fragen was deine Quelle ist...

Nee, eine solch grosse Lücke war definitiv nicht öffentlich bekannt. Es gibt da schon genug Leute da draussen die dafür sorgen dass sowas nicht für Monate geschweige denn Jahre unterm Tisch fällt.
ich weiß es nicht. Ich lese tagtäglich irgendwelche IT Artikel: iX, CIO, Heise... auch sicherheitsrelevante von Security Anbietern (Fortinet, Sophos, Symantec...) und auch den Jahresbericht des BSI jedes Jahr, den ich noch gestern per Post bekommen habe. Mag sein, dass ich Log4j auch mit etwas anderem verwechsle. Ich weiß nur, dass ich vor Jahren mal von etwas ähnlichem in Java Bibliotheken in Verbindung mit Apache Servern gelesen habe. Aber wie gesagt, wann und wo: kein Plan

Ich bin einfach nur genervt von dieser Schei..e, da ich in diesem Jahr noch keinen einzigen Tag frei hatte und jetzt wo ich im Dezember (!) noch 30 Tage Urlaub abbauen soll, kommt dieser Mist hoch. Mit dem Exchange Chaos im Frühjahr war es genau so. Du springst in der IT derzeit einfach nur im Eck herum und spielst Feuerwehr. Dabei kann ich das auch nicht delegieren, da meine Admins alle nur Seiteneinsteiger für den 1st-Level Support sind. Und externe sind jetzt wieder alle voll ausgebucht

Nichts für Ungut @all
 
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh