BSI warnt vor Kritischer Schwachstelle in weit verbreitetem Software-Produkt Log4j

MisterMini

MisterMini

Aktives Mitglied
Thread Starter
Dabei seit
26.07.2005
Beiträge
1.524
Reaktionspunkte
28
Zum Thema existiert hier schon ein Thread. Du selbst kannst (musst) Nichts tun.
 
  • Gefällt mir
Reaktionen: MisterMini
Wenn du kein Java Programm verwendest, das es beinhaltet, dann hast du kein Problem.
Diverse Firmen haben aber ein Problem, darunter auch Apple mit der iCloud.
 
  • Gefällt mir
Reaktionen: mausfang und MisterMini
oneOeight schrieb:
Wenn du kein Java Programm verwendest, das es beinhaltet, dann hast du kein Problem.
Diverse Firmen haben aber ein Problem, darunter auch Apple mit der iCloud.
Zum Vergrößern anklicken....
Ist es also eher kein Enduser-Thema? Ich habe einen Office-Mac mit Browsern, mache nix spezielles, in meiner (eigenen) Firma machen wir vor allen Adobe- und Webdevelopment-Sachen. Daher bin ich doppelt alarmiert, also aufgrund der breiteren Installationsbasis.
 
  • Gefällt mir
Reaktionen: MisterMini
Die log4j-Version ist recht alt.

M.E. ist das ein Hinweis für kleine Software-Häuser. Bei grossen Software-Häusern - und da würde ich Apple auch mal zu zählen - gehe ich davon aus, dass im CI-/CD-Prozess eine Schwachstellen-Prüfung stattfindet und ein Build nicht möglich ist.
 
  • Gefällt mir
Reaktionen: Nutzloser, MisterMini und dg2rbf
gishmo schrieb:
Die log4j-Version ist recht alt.
Zum Vergrößern anklicken....
Was soll da genau recht alt sein?

Und was soll der CI-/CD Prozess mit schon lange deployten Versionen zu tun haben? Siehe auch:
MisterMini schrieb:
Ist es also eher kein Enduser-Thema? Ich habe einen Office-Mac mit Browsern, mache nix spezielles, in meiner (eigenen) Firma machen wir vor allen Adobe- und Webdevelopment-Sachen. Daher bin ich doppelt alarmiert, also aufgrund der breiteren Installationsbasis.
Zum Vergrößern anklicken....
Davon abgesehen denke ich aber auch, dass der "Hype" n bisschen zu groß ist. Da geb ich dir schon recht.
 
Das ist in der Version 1.2 ... die aktuelle Version ist 2.x. Damit trifft es nicht viele Produkte.
xentric schrieb:
Und was soll der CI-/CD Prozess mit schon lange deployten Versionen zu tun haben? Siehe auch:
Zum Vergrößern anklicken....
Maintainte Produkte werden regelmässig gebaut und auf Test-Systemen deployed. Wenn der CI-/CD-Prozess eine entsprechende Schwachstellen-Prüfung besitzt, fällt das auf und wird gefixed (es sei denn, man suppressed es, aber dann ist die Security-Policy des Ladens murks) und ein neues Released ausgerollt. Wenn man natürlich auf 5 Jahre alter Software rum turnt ... ist das was anderes.
 
  • Gefällt mir
Reaktionen: MisterMini
xentric schrieb:
Davon abgesehen denke ich aber auch, dass der "Hype" n bisschen zu groß ist.
Zum Vergrößern anklicken....
Leider Nein.

Ich teste seit heute früh meine Programme - also die von mir geschriebenen Programme - ob die Lücke ausnutzbar ist.

gishmo schrieb:
Wenn man natürlich auf 5 Jahre alter Software rum turnt ... ist das was anderes.
Zum Vergrößern anklicken....
Wenn es das wäre...
Aber hier haben wir schon das erste Problem.

Die erste Version, die den Fehler enthielt, kam geschätzt vor zehn Jahren heraus. Mein Projekt von 2012 enthielt jedenfalls schon die betroffene Version 2.1.
Die Version, die den Fehler korrigiert, ist vom 6. 12. 21, also gerade erst ein paar Tage alt.

Es dürfte sich also um eine Zero-Day-Lücke handeln, die schon ausgenutzt wird.

Mit anderen Worten: Alle Projekte, die log4j nutzen, und bei denen in den letzten zehn Jahren einmal die log4j-Bibliothek aktualisiert wurde, sind potentiell betroffen.

gishmo schrieb:
M.E. ist das ein Hinweis für kleine Software-Häuser. Bei grossen Software-Häusern - und da würde ich Apple auch mal zu zählen - gehe ich davon aus, dass im CI-/CD-Prozess eine Schwachstellen-Prüfung stattfindet und ein Build nicht möglich ist.
Zum Vergrößern anklicken....
Der CI/CD-Prozess hat Apple und die anderen zehn Jahre lang nicht daran gehindert, diese Lücke im Build einzubauen. Soviel dazu.

MisterMini schrieb:
Ist es also eher kein Enduser-Thema?
Zum Vergrößern anklicken....
Wenigstens das stimmt. Also reiner Enduser hast du damit nichts zu tun.
Es betrifft dich dann, wenn du bei dir, bei deiner Firma oder auf deinem angemieteten Web-Server einen vom Internet aus erreichbaren Dienst zur Verfügung stellt, über den ein Java-Programm aufgerufen werden kann.

Problem zwei ist, dass die log4j-Bibliothek verdammt weit verbreitet ist.
log4j ist die mit Abstand am meisten genutzte Logging-Bibliothek in Java. Gefühlt wird es von 50% der Java-Programme genutzt. Minecraft zum Beispiel. Und wenn das Programm selbst log4j nicht nutzt, dann womöglich eine eingebundene Bibliothek.
Daher müssen eigentlich alle für Web-Dienste genutzten Java-Programme überprüft werden.

Problem drei ist, dass es sehr trivial sein kann, die Lücke auszunutzen.
Das Vorhandensein der log4j-Bibliothek alleine reicht noch nicht aus. Der Angreifer muss das System dazu bringen, ein von ihm vorgegebenen Text zu protokollieren. Das ist nicht überall möglich. Aber wenn zum Beispiel der Betreiber eines mit Java realisierten Web-Dienstes fehlerhafte Anmeldeversuche protokolliert, dann genügt es für den Angreifer, seinen vergifteten Text als Benutzernamen einzugeben. Die Anmeldung braucht nicht erfolgreich zu sein, aber sie wird (in dem Beispiel) protokolliert, und damit hat der Angreifer das System.
 
  • Gefällt mir
Reaktionen: chris25, Barry Lyndon, mj und eine weitere Person
Johanna K schrieb:
Aber wenn zum Beispiel der Betreiber eines mit Java realisierten Web-Dienstes fehlerhafte Anmeldeversuche protokolliert, dann genügt es für den Angreifer, seinen vergifteten Text als Benutzernamen einzugeben. Die Anmeldung braucht nicht erfolgreich zu sein, aber sie wird (in dem Beispiel) protokolliert, und damit hat der Angreifer das System.
Zum Vergrößern anklicken....
Nun ja, man sollte halt nicht hergehen und User-Eingaben blind protokollieren oder auf dem Bildschirm auszugeben. Die Software ist so gut, wie der schlechteste Programmierer im Projekt ...
 
EDIT: Beitrag gelöscht. Ich habe mich entschieden mich nicht auf die Diskussion einzulassen.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: dg2rbf und Carmageddon
gishmo schrieb:
Nun ja, man sollte halt nicht hergehen und User-Eingaben blind protokollieren oder auf dem Bildschirm auszugeben. Die Software ist so gut, wie der schlechteste Programmierer im Projekt ...
Zum Vergrößern anklicken....
Genau! Das ist auch mein Hauptargument, warum ich die aktuelle Medienaufmerksamkeit n bisschen übertrieben finde. Nicht falsch verstehen, ich wünschte jede RCE hätte solch eine Aufmerksamkeit. Nichts ist wichtiger als Software schnell zu patchen. Aber da hab ich echt schon Schlimmeres gesehen ohne solch einen Rummel.

Und die meisten Java-Sachen die ich kenne, ist eh hinter einer Firewall. Falls die da richtig konfiguriert ist, und man eben nicht bild Eingaben des Users loggt, sehe ich das auch nicht als so das krasse Problem (bei kritischer Infrastruktur).

Aber na ja. Bloß patchen, auf jeden Fall! Hab ich schon am Freitagmittag gemacht.
 
gishmo schrieb:
Nun ja, man sollte halt nicht hergehen und User-Eingaben blind protokollieren oder auf dem Bildschirm auszugeben. Die Software ist so gut, wie der schlechteste Programmierer im Projekt ...
Zum Vergrößern anklicken....
Ja, und hinterher ist man immer schlauer, oder?
 
picknicker1971 schrieb:
wenn Deine Daten/PW durch ein Angriff z.B. bei iCloud, AMZN oder sonst wo abgegriffen werden....
Zum Vergrößern anklicken....
Darum geht es bei dem Problem gar nicht.
Diese Lücke eröffnet die Möglichkeit zur entfernt code auszuführen.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben Unten