Kritische Schwachstelle in log4j
Wähle Beiträge von
 # bis # FAQ
[/[Drucken]\]

Freigeisterhaus -> DAU's Paradise
#1: Kritische Schwachstelle in log4j Autor: schtonk BeitragVerfasst am: 09.01.2022, 00:34
    —
Das BSI warnt vor einer Schwachstelle in Systemen/Anwendungen und gibt dafür Alarmstufe rot aus.

Zitat:
..Das bedeutet, dass eine enorme Anzahl von Anwendungen von Drittanbietern dafür anfällig sein können. Auch große Unternehmen wie Steam, Apple, Twitter und Amazon sollen von dem ernstzunehmenden Sicherheitsrisiko nicht ausgeschlossen sein. Viele Heimanwender und Firmen sind gleichermaßen davon betroffen.
...
Die Log4j-Lücke bedeutet nicht nur Alarmstufe Rot für Unternehmen, sondern auch private Nutzer*innen können von den Auswirkungen der Lücke betroffen sein, erklärt Sophos. Das gilt vor allem dann, wenn Privatpersonen Cloud-Server nutzen, die von einem Hosting-Unternehmen oder einem anderen Managed-Service-Provider betrieben werden – sei es ein Blog, ein Forum oder die Familienwebsite.

https://futurezone.at/digital-life/bsi-log4j-sicherheitsluecke-java/401839189


2 Youtuber erklären einigermaßen verständlich den Zusammenhang mit Java-Anwendungen:
https://www.youtube.com/watch?v=wGw6ZiA7FuI
https://www.youtube.com/watch?v=3LVf1jyTtlk

Ich hatte Kolja vor 2 Wochen eine Mail deswegen geschrieben, aber keine Antwort erhalten.
#2:  Autor: koljaWohnort: NRW BeitragVerfasst am: 09.01.2022, 11:26
    —
Zum Glück meide ich Java auf dem Server wie die Pest, wir sind davon nicht betroffen.
#3:  Autor: schtonk BeitragVerfasst am: 09.01.2022, 14:04
    —
War nett gemeint, nix zu danken.
#4:  Autor: narr BeitragVerfasst am: 09.01.2022, 14:31
    —
Ich fand die Info sehr hilfreich. Hab Java zwar schon vier einiger Zeit entfernt, aber manchmal wird gesagt, man bräuchte es für das ein oder andere Programm.
Ist Java der einzige Schwachpunkt?
#5:  Autor: koljaWohnort: NRW BeitragVerfasst am: 09.01.2022, 17:08
    —
Der Bug ist in einer sehr weit verbreiteten Java-Library, insofern: ja, diesen Schwachpunkt hat man nur mit Java.

Das Problem in der Praxis besteht darin, dass man als Anwender oft keine Ahnung hat, wo überall Java drinsteckt. Man kann Java nicht an zentraler Stelle abschalten oder deinstallieren, Anwendungen bringen oft ihre eigene Version der Laufzeitumgebung mit. Und die konkrete Schwachstelle ist ja auch nicht in der Laufzeitumgebung selbst (*), sondern im Code der Anwendung, der diese fehlerhafte Library enthält.

Als Betreiber eines Servers sollte man natürlich exakt Bescheid wissen, welche Software man nutzt.

(* man kann allerdings auch die Auffassung vertreten, dass Java by Design schlecht ist und dadurch wesentliche Voraussetzungen für den Bug in der Library liefert, unter dieser Sichtweise ist Java selbst Teil der Schwachstelle)
#6:  Autor: koljaWohnort: NRW BeitragVerfasst am: 09.01.2022, 17:18
    —
kolja hat folgendes geschrieben:
man kann allerdings auch die Auffassung vertreten, dass Java by Design schlecht ist und dadurch wesentliche Voraussetzungen für den Bug in der Library liefert, unter dieser Sichtweise ist Java selbst Teil der Schwachstelle


https://www.heise.de/meinung/Kommentar-zu-log4j-Es-funktioniert-wie-spezifiziert-6294476.html
Freigeisterhaus -> DAU's Paradise


output generated using printer-friendly topic mod. Alle Zeiten sind GMT + 1 Stunde

Seite 1 von 1

Powered by phpBB © 2001, 2005 phpBB Group