Freigeisterhaus Foren-Übersicht
 FAQFAQ   SuchenSuchen   MitgliederlisteMitgliederliste   NutzungsbedingungenNutzungsbedingungen   BenutzergruppenBenutzergruppen   LinksLinks   RegistrierenRegistrieren 
 ProfilProfil   Einloggen, um private Nachrichten zu lesenEinloggen, um private Nachrichten zu lesen   LoginLogin 

Kritische Schwachstelle in log4j

 
Neues Thema eröffnen   Neue Antwort erstellen   Drucker freundliche Ansicht    Freigeisterhaus Foren-Übersicht -> DAU's Paradise
Vorheriges Thema anzeigen :: Nächstes Thema anzeigen  
Autor Nachricht
schtonk
Korinthenliegenlasser



Anmeldungsdatum: 17.12.2013
Beiträge: 11926

Beitrag(#2268751) Verfasst am: 09.01.2022, 00:34    Titel: Kritische Schwachstelle in log4j Antworten mit Zitat

Das BSI warnt vor einer Schwachstelle in Systemen/Anwendungen und gibt dafür Alarmstufe rot aus.

Zitat:
..Das bedeutet, dass eine enorme Anzahl von Anwendungen von Drittanbietern dafür anfällig sein können. Auch große Unternehmen wie Steam, Apple, Twitter und Amazon sollen von dem ernstzunehmenden Sicherheitsrisiko nicht ausgeschlossen sein. Viele Heimanwender und Firmen sind gleichermaßen davon betroffen.
...
Die Log4j-Lücke bedeutet nicht nur Alarmstufe Rot für Unternehmen, sondern auch private Nutzer*innen können von den Auswirkungen der Lücke betroffen sein, erklärt Sophos. Das gilt vor allem dann, wenn Privatpersonen Cloud-Server nutzen, die von einem Hosting-Unternehmen oder einem anderen Managed-Service-Provider betrieben werden – sei es ein Blog, ein Forum oder die Familienwebsite.

https://futurezone.at/digital-life/bsi-log4j-sicherheitsluecke-java/401839189


2 Youtuber erklären einigermaßen verständlich den Zusammenhang mit Java-Anwendungen:
https://www.youtube.com/watch?v=wGw6ZiA7FuI
https://www.youtube.com/watch?v=3LVf1jyTtlk

Ich hatte Kolja vor 2 Wochen eine Mail deswegen geschrieben, aber keine Antwort erhalten.
_________________
Es ist schon alles gesagt worden. Nur noch nicht von allen. - Karl Valentin

Politial language is designed to make lies sound truthful and murder respectable,
and to give the appearance of solidty to pure wind. - George Orwell
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden
kolja
der Typ im Maschinenraum
Betreiber



Anmeldungsdatum: 02.12.2004
Beiträge: 16628
Wohnort: NRW

Beitrag(#2268762) Verfasst am: 09.01.2022, 11:26    Titel: Antworten mit Zitat

Zum Glück meide ich Java auf dem Server wie die Pest, wir sind davon nicht betroffen.
_________________
Hard work often pays off after time, but laziness always pays off now.
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden Website dieses Benutzers besuchen
schtonk
Korinthenliegenlasser



Anmeldungsdatum: 17.12.2013
Beiträge: 11926

Beitrag(#2268770) Verfasst am: 09.01.2022, 14:04    Titel: Antworten mit Zitat

War nett gemeint, nix zu danken.
_________________
Es ist schon alles gesagt worden. Nur noch nicht von allen. - Karl Valentin

Politial language is designed to make lies sound truthful and murder respectable,
and to give the appearance of solidty to pure wind. - George Orwell
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden
narr
workingglass
Moderator



Anmeldungsdatum: 02.01.2009
Beiträge: 3512

Beitrag(#2268772) Verfasst am: 09.01.2022, 14:31    Titel: Antworten mit Zitat

Ich fand die Info sehr hilfreich. Hab Java zwar schon vier einiger Zeit entfernt, aber manchmal wird gesagt, man bräuchte es für das ein oder andere Programm.
Ist Java der einzige Schwachpunkt?
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden
kolja
der Typ im Maschinenraum
Betreiber



Anmeldungsdatum: 02.12.2004
Beiträge: 16628
Wohnort: NRW

Beitrag(#2268791) Verfasst am: 09.01.2022, 17:08    Titel: Antworten mit Zitat

Der Bug ist in einer sehr weit verbreiteten Java-Library, insofern: ja, diesen Schwachpunkt hat man nur mit Java.

Das Problem in der Praxis besteht darin, dass man als Anwender oft keine Ahnung hat, wo überall Java drinsteckt. Man kann Java nicht an zentraler Stelle abschalten oder deinstallieren, Anwendungen bringen oft ihre eigene Version der Laufzeitumgebung mit. Und die konkrete Schwachstelle ist ja auch nicht in der Laufzeitumgebung selbst (*), sondern im Code der Anwendung, der diese fehlerhafte Library enthält.

Als Betreiber eines Servers sollte man natürlich exakt Bescheid wissen, welche Software man nutzt.

(* man kann allerdings auch die Auffassung vertreten, dass Java by Design schlecht ist und dadurch wesentliche Voraussetzungen für den Bug in der Library liefert, unter dieser Sichtweise ist Java selbst Teil der Schwachstelle)
_________________
Hard work often pays off after time, but laziness always pays off now.
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden Website dieses Benutzers besuchen
kolja
der Typ im Maschinenraum
Betreiber



Anmeldungsdatum: 02.12.2004
Beiträge: 16628
Wohnort: NRW

Beitrag(#2268794) Verfasst am: 09.01.2022, 17:18    Titel: Antworten mit Zitat

kolja hat folgendes geschrieben:
man kann allerdings auch die Auffassung vertreten, dass Java by Design schlecht ist und dadurch wesentliche Voraussetzungen für den Bug in der Library liefert, unter dieser Sichtweise ist Java selbst Teil der Schwachstelle


https://www.heise.de/meinung/Kommentar-zu-log4j-Es-funktioniert-wie-spezifiziert-6294476.html
_________________
Hard work often pays off after time, but laziness always pays off now.
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden Website dieses Benutzers besuchen
Beiträge der letzten Zeit anzeigen:   
Neues Thema eröffnen   Neue Antwort erstellen   Drucker freundliche Ansicht    Freigeisterhaus Foren-Übersicht -> DAU's Paradise Alle Zeiten sind GMT + 1 Stunde
Seite 1 von 1

 
Gehe zu:  
Du kannst keine Beiträge in dieses Forum schreiben.
Du kannst auf Beiträge in diesem Forum nicht antworten.
Du kannst deine Beiträge in diesem Forum nicht bearbeiten.
Du kannst deine Beiträge in diesem Forum nicht löschen.
Du kannst an Umfragen in diesem Forum nicht mitmachen.



Impressum & Datenschutz


Powered by phpBB © 2001, 2005 phpBB Group