Log4j - wie geht's euch damit?

Re: Log4j - wie geht's euch damit?

*patrick star* — Wed, 22 Dec 2021 17:21:25 GMT

wir blocken typische angriffssignaturen auf der waf und updaten jetzt halt auf version 17.

Re(2): Log4j - wie geht's euch damit?

Paulas_Papa — Fri, 17 Dec 2021 13:24:59 GMT

Es ist schon eine Leistung, zu wissen, dass man im A... ist.

Re: Log4j - wie geht's euch damit?

TuxTux — Fri, 17 Dec 2021 13:21:57 GMT

haha

https://heise.de/-6298217

Der Bundesfinanzhof (BFH) hat seine Webseite vom Netz genommen. Der Webserver des höchsten deutschen Finanzgerichts sei über die Log4j-Sicherheitslücke angegriffen worden, berichtet die dpa.

Re(8): Log4j - wie geht's euch damit?

scientificallyilliterate — Thu, 16 Dec 2021 15:01:45 GMT

> Die Sprache ist eigentlich verbose, aber gut.

Also eh wie jedes gehypte 90er Jahre Konstrukt. Gut, C# ist jetzt nicht unbedingt 90er Jahre, aber bei MS dauert alles immer ETWAS länger.

> Was Schrott ist, ist das JRE und das von Anfang an.

Bis auf das verkorkste Exception handling und die Tatsache, dass GC und Threading über Jahre hinweg einer Operation am offenen Herzen gleichkamen, fallen mir auf die Schnelle keine sonderlich großen Unannehmlichkeiten ggü. anderen Interpretern ein. Zumindest bis auf die Eigenheit mit der Bytecode IR halt, die dir andere Runtimes heutzutage eh geschwind aus dem Optimizer ausspucken.

> Ach, das ist heute doch alles serverless/Lambda...

Alles der selbe Dreck. Wenn's immerhin mehr Druck in Richtung Go geben würde, aber nein, kompiliertes Zeug ist ja der Teufel…

Re: Ist doch eh nur eine Grippe

AVS_reloaded — Thu, 16 Dec 2021 11:10:34 GMT

guter Mann!

Systemschafe gibts schon genug!

Re: Ist doch eh nur eine Grippe

Paulas_Papa — Thu, 16 Dec 2021 11:08:04 GMT

Grandios!

Ist doch eh nur eine Grippe

hellbringer — Thu, 16 Dec 2021 10:44:24 GMT

Und geht von allein vorüber. Lasst euch nicht verrückt machen. Wacht auf!

https://twitter.com/DaRenegader/status/1470488281531961349

Re(4): Log4j - wie geht's euch damit?

matchbox — Wed, 15 Dec 2021 20:04:49 GMT

Hier ist auch ein netter Kommentar dazu:

https://www.heise.de/meinung/Kommentar-zu-log4j-Es-funktioniert-wie-spezifiziert-6294476.html

lg. mb

Re(7): Log4j - wie geht's euch damit?

Lazy Jones — Wed, 15 Dec 2021 14:29:32 GMT

aber die Sprache ist an und für sich erstmal 90er Jahre OOP, welche über die
Jahrzehnte hinweg durch Cargocult-Devs mitgeformt wurde und für die sich
zahlreiche komplett überfrachtete Lib-Konstrukte ergeben haben (die man nicht
nutzen muss).

Die Sprache ist eigentlich verbose, aber gut. Mittlerweile recht komplex, aber durchaus brauchbar. Was Schrott ist, ist das JRE und das von Anfang an. Da wurden viele völlig falsche Designentscheidungen über die Jahre angehäuft, vielleicht im Bestreben, sich möglichst von allen bestehenden Plattformen und Konventionen abzuheben.

Ich blicke mit Freude auf die nächste Generation höchst dynamischen
Codeabfalls (vulgo "microservices"),

Ach, das ist heute doch alles serverless/Lambda...

Es geht weiter...

Lazy Jones — Wed, 15 Dec 2021 14:24:51 GMT

https://www.lunasec.io/docs/blog/log4j-zero-day-update-on-cve-2021-45046/

2.15.0 auch vulnerabel...

Re(6): Log4j - wie geht's euch damit?

Lazy Jones — Wed, 15 Dec 2021 14:01:59 GMT

Wo immer es ein WebGUI gibt, kann dahinter ein Apache stecken.

Na und? Apache (der Webserver) ist C und verwendet das Apache-*Projekt* Log4j nicht.

Re(6): Log4j - wie geht's euch damit?

scientificallyilliterate — Wed, 15 Dec 2021 09:59:51 GMT

> Wenn eine gerade mal für Ausbildungszwecke halbwegs geeignete Sprache unkontrolliert in den Produktivbetrieb sickert

Ich weiß schon dass es zum Running gag wurde, sich über Java zu belustigen, und ich kann mit der Sprache auch ungefähr überhaupt nichts anfangen (weil komplett nutzlos für meine finsteren bare metal Ambitionen), aber die Sprache ist an und für sich erstmal 90er Jahre OOP, welche über die Jahrzehnte hinweg durch Cargocult-Devs mitgeformt wurde und für die sich zahlreiche komplett überfrachtete Lib-Konstrukte ergeben haben (die man nicht nutzen muss).

> Empfehlenswert übrigens auch der Gastbeitrag von Kristian Köhntopp bei heise.

Ironisch dass der Beitrag auf einer Seite veröffentlicht wird, welche dir ohne Contentblocker einfach mal 350k an Scriptingdünnpfiff von irgendwelchen Drittquellen laden würde.

Aber hey: Des einen Leid ist des anderen Freud. Ich blicke mit Freude auf die nächste Generation höchst dynamischen Codeabfalls (vulgo "microservices"), welche über npm (bereitgestellt von windigen Kurzzeitmaintainern), irgendwelchen Wordpress-Blogs und ohne Kenntnis über async, await und futures (*räusper* Verzeihung ich meinte Promises) zusammengeklickt und tausendfach repliziert auf k8s laufen (weil nur so die Controller zufrieden sind), denn diese transitive hell dürfte in wenigen Jahren das Rumgeeiere der Java Devs über die vergangenen 20 Jahre lächerlich aussehen lassen.

Re(6): Log4j - wie geht's euch damit?

Ovaron — Wed, 15 Dec 2021 09:31:44 GMT

ich habs gelesen muss aber gestehen das ich das meiste darin nicht verstehe - bin halt kein Programmierer.

Java war mir aber immer schon suspekt weil unnötig komplex. Bin damit nie warm geworden und war heilfroh das nach der HTL nie wieder angreifen zu müssen.

Re(5): Log4j - wie geht's euch damit?

pong — Wed, 15 Dec 2021 08:51:13 GMT

Wird noch schlimmer.

Baby Phones die das heimische WLAN nutzen. Und keiner hängt solch ein Ding in wenigstens ein getrenntes VLAN
TV, Soundbars und Co. die gleich auch noch ein integriertes Mikro oder gar Webcam haben.
Streamingfähige Radiowecker und Küchenradios.

Ganz interessant finde ich hochpreisigen PKWs mit festverbauter Sim Karte. Tesla wird da relativ rasch reagieren, aber vom VW Konzern warte ich mir nicht allzuviel Geschwindigkeit.

Hochgefährlich finde ich allerdings, die Implementierung in Flugzeugen, Schranken- und Ampelanlagen.

Re(3): Log4j - wie geht's euch damit?

Gukerl — Wed, 15 Dec 2021 06:08:02 GMT

Mission erfolgreich, zumindest "unser" Teil ist nun sicher. Ich bin im Übrigen kein Entwickler, ich pass nur auf, dass nix schief geht

Re(7): Log4j - wie geht's euch damit?

someonelikeme — Wed, 15 Dec 2021 01:48:03 GMT

Danke für diesen Beitrag. Ein harter Tag geht mit einem schallenden Lachen zu
Ende.

Falls sich übrigens jemand über den twitter-artigen, leicht abgehackten Stil in dem Artikel gewundert haben sollte - nun, das liegt daran, dass Kris das ursprünglich auch nur dort veröffentlicht hatte.

https://twitter.com/isotopp/status/1470668771962638339

Bei heise ist es aber erstens schöner zu lesen und zweitens auf Deutsch.

Re(5): Log4j - wie geht's euch damit?

soul — Tue, 14 Dec 2021 23:18:27 GMT

1) Lass die Beleidigungen bitte rasch sein. Das ist mehr als unangemessen. Ich
glaub, dir geht's gerade nicht gut.

mimimi ..... wodurch wurdest beleidigt? dinosaurier? ist doch eh nett.

Re(5): Log4j - wie geht's euch damit?

lsr2 — Tue, 14 Dec 2021 22:52:03 GMT

>>Wir haben aus unserer Einflusssphäre Java schon weitestgehend entfernt, nachdem Oracle durchgedreht hat und plötzlich Lizenzfees verlangt hat. Einfach aus Kostengründen.

Hm.. na und? Wir haben einfach die JVM umgestellt....
Gibt ja genug, es muss ja nicht die von Oracle sein.

Re(4): Es is mir wurscht

lsr2 — Tue, 14 Dec 2021 22:48:23 GMT

>>Du brichst sämtliches https auf, das von deinen Kunden über VPN reinkommt? Spannend!
Selbstverstaendlich! Das terminiert auf der WAF in der DMZ (die macht sanitizing etc etc). Tut das wer nicht? Intern ist dann back2-back https (wenn mit S) zum eigentlichen backend in einer anderen Zone.

Im VPN (bzw non-crypted leased line) hab ich kein https (und kein http), das VPN/leased lines terminiert in einer anderen Zone und hat andere services.

Re(4): Es is mir wurscht

lsr2 — Tue, 14 Dec 2021 22:48:23 GMT

>>Du brichst sämtliches https auf, das von deinen Kunden über VPN reinkommt? Spannend!
Selbstverstaendlich! Das terminiert auf der WAF in der DMZ (die macht sanitizing etc etc). Tut das wer nicht? Intern ist dann neues back2-back https (wenn mit S) zum eigentlichen backend in einer anderen Zone.

Im VPN (bzw non-crypted leased line) hab ich kein https (und kein http), das VPN/leased lines terminiert in einer anderen Zone und hat andere services.

Re(6): Log4j - wie geht's euch damit?

Paulas_Papa — Tue, 14 Dec 2021 22:01:34 GMT

Ich habe einen Lachkrampf. Stoppppp

Zitat: Java Code ist unstrukturierter trockener Staub von Codefragmenten in Klassendateien, die inert in keiner Weise miteinander interagieren. Erst mit den passenden Factories, Delegates, Generators und ClassLoaders werden sie instanziiert und zusammengesetzt. Der entstehende Haufen an Querverweisen führt dann nur zufällig irgendwann einmal tatsächlich wirksamen Code aus.

…

Dank JDNI SPI können wir also Java Classfiles von einem LDAP-Server ausliefern lassen, die angeblich ein Printer-Object generieren, wenn wir nach einem Printer fragen – dann aber stattdessen Doom installieren. Oder einen Kryptominer oder Verschlüsselungstrojaner. So geht Enterprise Security.

Danke für diesen Beitrag. Ein harter Tag geht mit einem schallenden Lachen zu Ende.

Re(5): Log4j - wie geht's euch damit?

someonelikeme — Tue, 14 Dec 2021 21:49:30 GMT

weil Java möglicherweise Schei… ist.

Möglicherweise? Wenn eine gerade mal für Ausbildungszwecke halbwegs geeignete Sprache unkontrolliert in den Produktivbetrieb sickert, weil die Leute nun mal auch später gern das nutzen, was sie schon kennen, darf man sich wirklich nicht wundern.

Empfehlenswert übrigens auch der Gastbeitrag von Kristian Köhntopp bei heise.
https://www.heise.de/meinung/Kommentar-zu-log4j-Es-funktioniert-wie-spezifiziert-6294476.html?seite=all

Re(3): Log4j - wie geht's euch damit?

Psychopath — Tue, 14 Dec 2021 20:55:01 GMT

Danke fuer Deine Erlaeuterungen; zugegebenermassen versteh ichs nur sehr teilweise; aber immerhin.
Besten Dank!

Gruss,
j.

Re(6): Log4j - wie geht's euch damit?

scientificallyilliterate — Tue, 14 Dec 2021 20:12:39 GMT

Ich sehe Vernebelungswellenästhetik-Maimai, ich wähle hinauf.

Re(6): Log4j - wie geht's euch damit?

Paulas_Papa — Tue, 14 Dec 2021 20:03:06 GMT

Eher Scriptkiddy!

Re(5): Log4j - wie geht's euch damit?

Wizard51 — Tue, 14 Dec 2021 19:57:47 GMT

Ich nehme wo immer möglich ${jndi:ldap://127.0.0.1:1389/a}

Re(4): Log4j - wie geht's euch damit?

Paulas_Papa — Tue, 14 Dec 2021 18:24:06 GMT

Ich nehme wo immer möglich ${jndi:ldap://127.0.0.1:1389/a}

als UserID. Und das mache ich schon seit Monaten, also LANGE bevor die FW, WAF, IPS, Proxies etc erfahren haben, dass so ein dämlicher String tödlich sein kann.

Auf Deutsch: Tausende Betreiber wissen nicht mal, ob sie nicht schon lange „übernommen“ worden sind. Die Lücke steht seit 2014 offen.

Re(4): Log4j - wie geht's euch damit?

Paulas_Papa — Tue, 14 Dec 2021 18:24:06 GMT

Re(3): Es is mir wurscht

Paulas_Papa — Tue, 14 Dec 2021 17:54:24 GMT

Du brichst sämtliches https auf, das von deinen Kunden über VPN reinkommt? Spannend!

Re(5): Log4j - wie geht's euch damit?

colo — Tue, 14 Dec 2021 17:52:48 GMT

Ad 1) Wenn ich dich beleidige, merken wir das beide daran, dass ich danach gebannt bin - ich gebe da naemlich immer (mindestens) 120%.

Ad 2) Du hast keine Ahnung, wovon ich Ahnung habe. Ich hab aber ziemlich gut Ahnung, wovon deine Bude im Mittel welche Ahnung hat. Aber abgesehen davon, dass ich weisz, wie es in der Realitaet meistens laeuft, weisz ich auch, wie es laufen kann, wenn man es weitestgehend richtig macht. Dass 99%+ der Industrie es nicht richtig machen, dafuer kann ich persoenlich nichts.

Ad 3) Eh.

Bin mir nicht sicher, ob ich es toll fuer die Menschheit oder schlecht fuer dich finden soll, dass ein Kapazunder wie du sich um die schlimmen Dinge kuemmert, die ich in meinem erbaermlichen Kleingarten nicht mal wahrnehme. Du bist echt toll.

Re(4): Log4j - wie geht's euch damit?

Paulas_Papa — Tue, 14 Dec 2021 17:51:23 GMT

Manchmal fragen sie ohnehin. Und nehmen dann das billigere…

Wir haben aus unserer Einflusssphäre Java schon weitestgehend entfernt, nachdem Oracle durchgedreht hat und plötzlich Lizenzfees verlangt hat. Einfach aus Kostengründen.

Aber du kannst keinem Kunden erklären, dass er zB die Oracle Business Suite wegschmeißen soll, weil Java möglicherweise Schei… ist. Oder 10.000 Datenbanken mit einigen Petabyte.

Re(2): Es is mir wurscht

lsr2 — Tue, 14 Dec 2021 17:45:16 GMT

Das klingt jetzt wie "Ich weiss was und sags aber nicht" - sorry gleich vorab dafuer. Wenn ich zuviel Details darueber erzaehle, wie "meine" Infra aussieht, bin ich erstens in breach of compliance und zweitens ist sofort klar wo und was ich arbeite.

a) Ich habe nicht viele Kunden.
b) Wenn in den ingress Daten von den Kunden nur 1 bit nicht so ist, wie es in den specs steht, wird der Kunde abgehaengt, und das will er nicht. Der kann nix injecten.
c) Ja, laterale Ausbreitung ist ein Risiko, aber ich halte mich durchs zoning und andere Masznahmen fuer "gut genug" geschuetzt.

Re(3): Log4j - wie geht's euch damit?

Ti — Tue, 14 Dec 2021 17:21:26 GMT

Ok das ist natürlich blöd, da haben wir den Vorteil das uns die Kunden fragen was "gscheit" ist.

Aber ja, schon arg was so eine angeblich harmlose log Lib anrichtet...

Re(5): Log4j - wie geht's euch damit?

Paulas_Papa — Tue, 14 Dec 2021 17:16:10 GMT

Wo immer es ein WebGUI gibt, kann dahinter ein Apache stecken. Auch in Appliances.
Aber auch, wo du kein GUI siehst, zB in Proxies.
Und natürlich in jedem Container, den du dir vor Jahren „eingetreten“ hast.

Re(2): Log4j - wie geht's euch damit?

Paulas_Papa — Tue, 14 Dec 2021 17:12:41 GMT

Schön, wenn das eure Kunden auch so sehen.

Unsere Kunden/Eigentümer kaufen einfach irgendwas und übergeben es uns zum Betrieb. Was dort „under the hood“ ist, hat uns nicht zu kümmern. Wir müssen es 7x24 und DSGVO compliant betreiben. Daher zB ZeroTrust.

Die ganze Latte von Redhat bis Oracle ist zB betroffen. Plattformen, die millionenfach weltweit eingesetzt werden.

Re(2): Es is mir wurscht

Ti — Tue, 14 Dec 2021 16:49:28 GMT

Auch VPN Interfaces müssen idealerweise übers WAF/IPS.

Probleme sehe ich eher im internen Netz den fast keiner absichert. Im Prinzip ist es meistens so das wenn man einmal im internen Netz ist freie Bahn auf alles hat. Dafür würde es Techniken wie ZeroTrust geben aber die richtige Implementierung ist eher komplex und kostspielig.

Zumindest in Österreich sind die Firmen sehr knausrig wenn es um IT-Sicherheit geht. Warum ein Sicherheitskonzept um ein paar Tausender zulegen wenn man dafür eine schöne Ausstattungsoption fürn Benz vor der Tür bekommt. Jo, das Zitat ist so bei einem Kunden so ähnlich gefallen. ; )

Re(4): Log4j - wie geht's euch damit?

Lazy Jones — Tue, 14 Dec 2021 16:46:32 GMT

Smart Cards, SIM-Karten, Chipkarten (Kreditkarten)...

Re(3): Log4j - wie geht's euch damit?

Ti — Tue, 14 Dec 2021 16:42:00 GMT

Fortigate hat eh schon länger WAF und IPS: https://www.fortinet.com/blog/psirt-blogs/apache-log4j-vulnerability

Die Frage ist ob es richtig konfiguriert wurde. Kenne viele Firewalls die nur als besserer Router dienen. Und wer logt bitte ein Passwort Plaintext in ein Log ; )

Re: Log4j - wie geht's euch damit?

Ti — Tue, 14 Dec 2021 16:35:48 GMT

Haben keine Probleme da wir Java meiden wie der Teufel das Weihwasser ; )

Re(4): Log4j - wie geht's euch damit?

Paulas_Papa — Tue, 14 Dec 2021 16:34:42 GMT

Ich kann dir versprechen, dass in Österreich derzeit tausende Server/Anwendungen hektisch gepatched werden. Und nicht nur in Banken. In ALLEN Industrien, die IT aus dem aktuelle Jahrtausend verwenden.

Re(2): Log4j - wie geht's euch damit?

Paulas_Papa — Tue, 14 Dec 2021 16:15:25 GMT

Willkommen im Club!

Re: Log4j - wie geht's euch damit?

Gukerl — Tue, 14 Dec 2021 15:53:26 GMT

Supergau seit gestern 6 in der Früh. Die Entwicklungen in diversen Abteilungen verifizieren im Akkord.

LG, Andi

Re(4): Log4j - wie geht's euch damit?

Suremo — Tue, 14 Dec 2021 15:13:17 GMT

Org, an IOT hab ich gar nicht gedacht.

Re(4): Log4j - wie geht's euch damit?

Paulas_Papa — Tue, 14 Dec 2021 14:53:09 GMT

1) Lass die Beleidigungen bitte rasch sein. Das ist mehr als unangemessen. Ich glaub, dir geht's gerade nicht gut.

2) Du hast wenig Ahnung, wie groß der Blast Radius in echten Rechenzentren ist, die über Jahrzehnte eine komplett heterogene Landschaft "aufs Auge gedrückt" bekommen haben. Für viele Standardtools & Plattformen gibts aktuell noch keine Bugfixes, bloß Workarounds. Und diese auszurollen erfordert zB Wartungsfenster, die erst mit Kunden, Partnern etc abzustimmen sind.

3) Und es zeigt sich, dass Open Source per se KEIN Qualitätsmerkmal ist. Einfach weil niemand auf der Welt den Source wirklich liest oder austestet.

Aber Gratulation zu deinem einfachen Leben im Kleingarten! Ich sehne mich mitunter auch danach.

Re(3): Log4j - wie geht's euch damit?

Freak_On_No_Leash — Tue, 14 Dec 2021 13:08:52 GMT

Danke für den Hinweis, aber das hatte ich eh am Schirm.

Re(9): Log4j - wie geht's euch damit?

raiuno — Tue, 14 Dec 2021 12:50:20 GMT

So, hab selbst geforscht (ja, hätt ich auch schon vorher machen können ):

https://www.reddit.com/r/synology/comments/rdl1f3/log4j_aka_log4shell_zero_day_vulnerability/

Anscheinend alles safe.

Edit: gibt auch schon was von Synology selbst: https://www.synology.com/en-us/security/advisory/Synology_SA_21_30

Re(9): Log4j - wie geht's euch damit?

raiuno — Tue, 14 Dec 2021 12:50:20 GMT

So, hab selbst geforscht (ja, hätt ich auch schon vorher machen können ):

https://www.reddit.com/r/synology/comments/rdl1f3/log4j_aka_log4shell_zero_day_vulnerability/

Anscheinend alles safe.

Re(9): Log4j - wie geht's euch damit?

raiuno — Tue, 14 Dec 2021 12:45:04 GMT

Ich dank dir für deine Bemühungen, weiß aber leider weder was ein SSH Zugang ist, noch ob ich einen habe. Und wo ich deine Befehlszeile ausführen könnte, ist mir leider auch ein Rätsel.
Vor allem will ich das alles nicht jetzt von der Arbeit über diesen Synology Quickconnect Zugang tun.
Ich denke also, dass ich zuhause dann das Ding vom Netzwerk nehme.

Re(8): Log4j - wie geht's euch damit?

colo — Tue, 14 Dec 2021 12:39:30 GMT

Wenn du SSH-Zugang zu deinem NAS hast: So einloggen, dort `ps -ef | grep '[j]ava'` ausfuehren (Synology ist leider zu sparsam, als dass sie ein `pgrep` in ihre Linux-Bastard-Firmware einimpfen wuerden). Wenn aus diesem Kommando keine Ausgabe raushuepft, sollte alles OK sein, und zumindest mal nix mit Java im Bauch gerade laufen.

Re(7): Log4j - wie geht's euch damit?

raiuno — Tue, 14 Dec 2021 12:26:13 GMT

Hm
Ein paar Apps hab ich schon installiert. Für Foto und Video, Surveillance, Backup, etc.
Wie stell ich Wappler da fest, ob die Java verwenden?

Re(6): Log4j - wie geht's euch damit?

colo — Tue, 14 Dec 2021 12:05:20 GMT

I. w. nix - das Synology-OS liefert kein Java/keine JRE, und hat demnach auch keine Applikationen dabei, die log4j bundeln koennten. Ausnahme sind ggf. Anwendungen, die du ueber den Synology-App-Store (hab den konkreten Namen vergessen) selbst dazuinstalliert hast, und die in Java implementiert sind.

Re(2): Log4j - wie geht's euch damit?

colo — Tue, 14 Dec 2021 12:00:25 GMT

Dass es fuer Java so vglw. viele prominente Logging-Frameworks gibt ist meiner (laienhaften - das Java-Oekosystem finde ich ziemlich ekehalft und meide ich bei allen sich bietenden Gelegenheiten nach Kraeften - und auch nicht sorfgaeltig recherchierten, folglich also eigentlich rein spekulativen und unfundierten ) Meinung/Ansicht nach der Weigerung von Sun geschuldet, sich schon in einer fruehen Release zur vernuenftigen Anbindung an die Logging-Mechanismen der Host-OS-Plattformen (syslog, Eventlog, younameit) zu ueberwinden. Damals sah man Java wohl noch als tatsaechlich universelle, transitive Huelle ueber alle Host-Plattformen hinweg, und deswegen wollte man sich nicht in diese Niederungen der Realitaet hinabbegeben. So wie man sich bspw. auch UNIX Domain Sockets die laengste Zeit verweigert hat.

Das hat dann natuerlich dazu gefuehrt, dass man mit der rudimentaeren Scheisze aus java.util.logging gelebt hat, und das mussten/wollten/durften dann viele Java-Enterprise-Menschen erweitern und ver(schlimm)besseren mit ihren eigenen Implementierungen. Nur eine Frage der Zeit, bis sowas dann im Apache-Kosmus aufschlaegt oder gar dort seinen Ursprung findet. Dann braucht man, Java-typisch, alles mit viel sich technologisch anfuehlendem Brimborium konfigurier- und austausch- und misch- und ver(schlimm)besserbar - am besten mit einem Batzen XML, wo dir dann zur Laufzeit noch ueberraschend was um die Ohren fliegen kann - und fertig ist der perfekte Vektor der schlimmsten Cybersecurity-Luecke der juengeren Geschichte.

Noch was Sachdienliches zum Schluss meines Rants: log4j und Konsorten zeichnen sich in der Praxis halt dadurch aus, dass du z. B. den Sink (also den Ort, wohin der Log-Strom kommt - meistens simple Dateien) ueber weithin bekannte Konventionen (JVM-Properties) konfigurieren kannst. Oder auch Logs nach Prioritaeten aufteilen/ausblenden/umlenken. Manche Java-Logging-Frameworks ermoeglichen dir auch die Interaktion mit Naming und Directory Services aus Log-Nachrichten heraus; superpraktisch!!1! Auch so laestige Sachen wie das Rotieren von Logfiles oder das Partitionieren von Logs nach Zeit und/oder Volumen sind typischerweise moeglich.

Ich hab das immer als de facto extrem laestig empfunden, weil man das (also, eine Logging-Policy definieren und implementieren) zumindest fuer jede Applikation eigens machen muss - syslog oder das systemd journal sind da wegen der Zentralisierung aller Policy imo viel angenehmer.

Mit dem Container/Docker-Wahnsinn der letzten Jahre und 12-Factor-Apps dreht man in dieser Hinsicht die Logging-Komplexitaetsschraube wieder in die Gegenrichtung; da kotzt alles nur noch unstrukturiert syslog-artig auf stdout, und die Container-Runtime macht dann das Beste (oder halt irgendwas) draus. Aber das ist immer noch das kleinere der beiden Uebel, finde ich.

Re(3): Log4j - wie geht's euch damit?

Lazy Jones — Tue, 14 Dec 2021 11:57:29 GMT

schelhammer.at is auch gerade hin... bzw. die Digital-ID-Software, die sie einsetzen für den Login.

Re: Log4j - wie geht's euch damit?

kaufinator1 — Tue, 14 Dec 2021 11:55:17 GMT

Bin zum Glück nicht betroffen, aber das passt gut dazu:
https://xkcd.com/2347/

Re(5): Log4j - wie geht's euch damit?

raiuno — Tue, 14 Dec 2021 11:50:55 GMT

Synology. DS 213 glaub ich. Schon etwas älter.
Im Moment bin ich in der Arbeit und kann das Kabel nicht abstecken.

Was kann passieren?

Re(2): Log4j - wie geht's euch damit?

colo — Tue, 14 Dec 2021 11:38:51 GMT

Hab alles hinter einer Forti, und rein darf eigentlich gar nix.

Ah, Fortinet/gate! Passt, dann ist ja alles in Butter!

https://www.heise.de/news/FortiOS-und-FortiProxy-Updates-schliessen-Sicherheitsluecken-Check-empfohlen-6290546.html

Re(3): Log4j - wie geht's euch damit?

colo — Tue, 14 Dec 2021 11:37:25 GMT

Du bist wirklich einer dieser unertraeglichen Dinosaurier, die sich an die "Weisheit" von um-die-Jahrtausendwende-herum klammern, dass FOSS qualitativ minderwertig im Vergleich zu proprietaerer Software ist, oder?

Besonders bloed dabei: insb. permissively licensed FOSS (also solche ohne Copyleft, wie eben Zeug unter der Apache-Lizenz) findet man heute UEBERALL. Z. B. auch bei VMWare, waschechter Enterprise-Software fuer Profis und Entscheider direkt vom Weltmarktfuehrer! https://www.vmware.com/security/advisories/VMSA-2021-0028.html

Ich sage dir auch, dass du log4j und damit log4shell in quasi JEDER nichttrivialen Java-Software finden wirst, insoferne man dort nicht aus Glueck und Zufall exklusiv auf slf4j und/oder logback gesetzt hat, und man dann log4j nicht trotzem als transitive Dependency von irgendwas anderem reinbekommen hat.

Wer uebrigens wegen dieses Incidents seinen Weihnachtsurlaub stornieren muss, hat die Kontrolle ueber seine IT verloren. Und das sage ich, obwohl mir beim allerersten Blip auf dem Twitter-Radar klar war, welche weitreichenden Auswirkungen diese Luecke haben wuerde.

Re(4): Log4j - wie geht's euch damit?

Ovaron — Tue, 14 Dec 2021 11:37:15 GMT

dann trenn das vom Internet und warte ab bis der Hersteller ein Statement veröffentlicht.

Re(4): Log4j - wie geht's euch damit?

Ovaron — Tue, 14 Dec 2021 11:37:15 GMT

dann trenn das vom Internet und warte ab bis der Hersteller ein Statement veröffentlicht.

Welches ist es denn genau ?

Re(3): Log4j - wie geht's euch damit?

raiuno — Tue, 14 Dec 2021 11:35:43 GMT

Ja, ein NAS.

Re: Log4j - wie geht's euch damit?

Ovaron — Tue, 14 Dec 2021 11:28:43 GMT

Bei Cyberport scheint es gearde ungeplante Wartungsarbeiten zu geben. Zufall ?<img

Re: Log4j - wie geht's euch damit?

Ovaron — Tue, 14 Dec 2021 11:28:43 GMT

Bei Cyberport scheint es gearde ungeplante Wartungsarbeiten zu geben. Zufall ?

Re: Log4j - wie geht's euch damit?

Ovaron — Tue, 14 Dec 2021 11:28:43 GMT

Bei Cyberport scheint es gearde ungeplante Wartungsarbeiten zu geben. Zufall ?

Re(2): Log4j - wie geht's euch damit?

Ovaron — Tue, 14 Dec 2021 11:27:13 GMT

Hast du daheim im Netzwerk etwas laufen was aus dem Internet erreichbar ist? NAS? WLAN-Controller? etc.

Re(2): Log4j - wie geht's euch damit?

LZ — Tue, 14 Dec 2021 11:22:45 GMT

Habe aber noch nicht versucht, bei Bank Austria einzuloggen um zu sehen, ob
mein Konto leer ist. Bank-Software ist ja das Letzte.

Ich vermute bei denen brennts auf beiden Seiten:
am Sonntag mit dem Handy nicht reingekommen, am Desktop mit registriertem Browser abgewiesen wegen suspicios IP ( mehrere Anläufe / unterschiedliche IP's )
schlussendlich eine VM hergenommen und den Browser neu registirert.....

elend ja die Bankensoftware....

Re(3): Log4j - wie geht's euch damit?

Freak_On_No_Leash — Tue, 14 Dec 2021 09:58:41 GMT

Jaja, ich bin eh informiert.

Ich hab zum Glück wirklich auch keine Anwendung die betroffen ist.

Die HomeOffice Geräte dürfen auch nur dort hin wo sie auch wirklich müssen per VPN.

Intranet ist in viele VLANs aufgeteilt die durch die Forti verbunden sind, aber auch da sind nur die Ports offen die offen sein müssen.

Das einzige was mich "getroffen" hat waren meine Unifi Controller, da hat aber Ubiquiti schon ein Update rausgehaun, Respekt, hätte nicht gedacht dass die so schnell sind.

Re(3): Log4j - wie geht's euch damit?

Freak_On_No_Leash — Tue, 14 Dec 2021 09:58:41 GMT

Re: Log4j - wie geht's euch damit?

raiuno — Tue, 14 Dec 2021 09:51:00 GMT

Darf ich als Anwender die Experten hier fragen, wo mich das in meinem privaten Umfeld treffen kann? Worauf soll ich jetzt achten?

Re(4): Log4j - wie geht's euch damit?

Paulas_Papa — Tue, 14 Dec 2021 09:09:00 GMT

Bei uns gehen auch die Cloudanwendungen zu 100% über eine Firewall, die von uns und NICHT vom Cloudprovider gemanaged wird. Hinein & hinaus! Nur steht halt auch die FW in der Cloud.

Re(3): Log4j - wie geht's euch damit?

Ovaron — Tue, 14 Dec 2021 08:43:39 GMT

Sehe ich eigentlich auch so, hat aber gestern in der Telko zumindest mal den Kunden beruhigt.

Wobei es eigentlich eh keine Alternative gibt - wir können das Service nicht herunterfahren, dann kann der Kunde seine Mitarbeiter vorzeitig in die Weihnachtspause schicken.
Da zeigt sich auch wieder ein Nachteil der tollen Cloud-Services, die sind halt recht frei zugänglich, da steht keine Firewall/IPS mehr davor wie das im eigenen Datacenter oft der Fall ist.

Also bleibt nur zu hoffen dass der Patch schnell kommt.

Re: Log4j - wie geht's euch damit?

Lazy Jones — Tue, 14 Dec 2021 08:23:15 GMT

Tja, wenn man Java und so aufgeblasene Services verwendet...

Mich hat das bisher nur insofern (vielleicht) betroffen, als der größte Ladenetzbetreiber hier einen Ausfall am Wochenende hatte (von außen zu sehen: Zertifikat abgelaufen, hmm) und ich für den Ausflug nach Brasov bei Enel-X laden musste.

Habe aber noch nicht versucht, bei Bank Austria einzuloggen um zu sehen, ob mein Konto leer ist. Bank-Software ist ja das Letzte.

Re: Es is mir wurscht

Paulas_Papa — Tue, 14 Dec 2021 08:01:04 GMT

die werden sich HUETEN, sich fehlzuverhalten.

Der war gut!!! Heißt das Konzept "Security by Threatening"?

Was hilft es dir, wenn ein gekaperter Client dich übers VPN attackiert und die Lücke nutzt, die ja banal zu nutzen ist?

Re(2): Log4j - wie geht's euch damit?

Paulas_Papa — Tue, 14 Dec 2021 07:55:23 GMT

die Attacke müsste also aus einer unerwarteten Richtung kommen.

Das ist eine "Ausrede", die bei uns nicht gilt. Bei uns herrscht "Zero Trust", womit jede Richtung als potentieller Angriffsvektor zu sehen ist. Halt mit unterschiedlicher Kritikalität.

Bin gespannt auf die weltweiten Gesamtkosten dieses Wahnsinns.

Re: Log4j - wie geht's euch damit?

Ovaron — Tue, 14 Dec 2021 07:46:48 GMT

Ich muss daheim den Controller updaten - jedes Mal eine Freude am Raspberry wo ich mir überlege nicht doch den Cloud Key anzuschaffen.
Nachdem ich den Doppel-NAT aber eh nie vernünftig zum Laufen gebracht habe ist der Controller aus dem Netz eh nicht erreichbar und ich kann mir Zeit lassen.

Beruflich trifft es mich nur am Rande, das einzige System für das ich zuständig bin, dass betroffen bin ist per ACL abgesichert, die Attacke müsste also aus einer unerwarteten Richtung kommen.

Nichtsdestotrotz wird da ein Update aufgespielt sobald der Hersteller einen Hotfix anbietet.

Insgesamt sehe ich das als ITler aber als Wahnsinn, dass wird noch ordentliche Wellen schlagen.

Re(4): Log4j - wie geht's euch damit?

TuxTux — Tue, 14 Dec 2021 05:12:20 GMT

beide sind wichtig, aber nur heise ist in meinem RSS Feed Reader.
Wichtige Cert Sachen bekommen wir aber per e-Mail.

Re(3): Log4j - wie geht's euch damit?

someonelikeme — Mon, 13 Dec 2021 22:42:04 GMT

Deep Space Network. Ein bisschen mehr Hintergrund zur Kommunikation bei den Mars-Missionen gibts hier:
https://phys.org/news/2021-02-mars-relay-network-earth-nasa.html

Re: Log4j - wie geht's euch damit?

Psychopath — Mon, 13 Dec 2021 21:04:01 GMT

Ich bin (Ueberraschung) natuerlich kein security officer - und hab davor von dieser library nie gehoert gehabt.

Koennt Ihr mir Wissenden kurz erklaeren, was ein (java) logging framework macht, wieso braucht es das (i.Vgl. zu z.B. Apache httpd's eigener log-Faehigkeit oder syslog(d)?)

(Mein rudimentaeres Wissen ist auf einem Stand von vor 15-20 Jahren, wies scheint.)

Danke!
Schoene weitere Herbstwoche,
j.

Re(2): Log4j - wie geht's euch damit?

Psychopath — Mon, 13 Dec 2021 20:57:44 GMT

https://de.wikipedia.org/wiki/DSN - da passt so viel davon, oder auch nicht. : )

Besten Gruss,
j.

Re(4): Log4j - wie geht's euch damit?

Paulas_Papa — Mon, 13 Dec 2021 20:09:48 GMT

https://orf.at/stories/3239875/

Re(3): Log4j - wie geht's euch damit?

Suremo — Mon, 13 Dec 2021 20:08:27 GMT

Meinst du heise ist eine wichtige IT Seite oder meinst du die Deutsche Cert Seite?

Re(3): Log4j - wie geht's euch damit?

Suremo — Mon, 13 Dec 2021 20:07:23 GMT

Spannend hab ich gar nicht gesehen.

Re(3): Log4j - wie geht's euch damit?

pong — Mon, 13 Dec 2021 19:37:59 GMT

Elektronische Türschlösser für Privathaushalte sag ich nur.

Es is mir wurscht

lsr2 — Mon, 13 Dec 2021 19:09:38 GMT

Bleibt fuer die eine Applikation (ist schon gepatched) an der WAF haengen. Und der Rest meiner Kunden kommt via VPN oder einer Geschmacksrichtung von leased line. Da wird jedes Bit aufgezeichnet, und die werden sich HUETEN, sich fehlzuverhalten.

>>Habt ihr eure Weihnachtsurlaube schon storniert?
Sicher nicht. Wenn so eine Sicherheitsluecke sowas notwendig macht, laeuft da wirklich viel falsch. Das Thema ist mit heute - um ein Unwort zu verwenden das ein bundesdeutscher Kollege immer so gern verwendet - "abgefruehstueckt".

"Layered defense", "defense in depth", segmentation, proxying, blah blah machen wir alles. In meiner Prod-Zone kann nix (mehr) passieren, und das andere ist mir egal - andere Abteilung

Es is mir wurscht

lsr2 — Mon, 13 Dec 2021 19:09:38 GMT

Re(2): Log4j - wie geht's euch damit?

Paulas_Papa — Mon, 13 Dec 2021 18:47:16 GMT

Du glaubst ja nicht, wo überall diese gottverdammte Library zum Einsatz kommt. Bin schon gespannt, wann die ersten TV Geräte und Handys auftauchen werden.

https://gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592

Re(2): Log4j - wie geht's euch damit?

Paulas_Papa — Mon, 13 Dec 2021 18:47:16 GMT

Du glaubst ja nicht, wo überall diese gottverdammte Library zum Einsatz kommt. Bin schon gespannt, wann die ersten TV Geräte und Handys auftauchen werden.

Re(2): Log4j - wie geht's euch damit?

Paulas_Papa — Mon, 13 Dec 2021 18:22:53 GMT

Re: Log4j - wie geht's euch damit?

someonelikeme — Mon, 13 Dec 2021 18:21:53 GMT

Da gäbe es schon ein paar exotische Ziele. Wenn man denn ins DSN kommt.

"Did you know that Ingenuity, the Mars 2020 Helicopter mission, is powered by Apache Log4j?"
https://twitter.com/TheASF/status/1400875147163279374

Re(2): Log4j - wie geht's euch damit?

Paulas_Papa — Mon, 13 Dec 2021 18:19:27 GMT

Denk ich mir auch! Wie schön wäre eine Welt ohne Kunden!

Re: Log4j - wie geht's euch damit?

pong — Mon, 13 Dec 2021 17:53:53 GMT

Schön blöd wenn eure Rechner alle von aussen zugänglich sind

Re(2): Log4j - wie geht's euch damit?

Paulas_Papa — Mon, 13 Dec 2021 16:34:22 GMT

Sobald du irgendeine webfacing Application auf einer der betroffenen Plattformen hast, bist du ein Kandidat. Egal, welche Firewall du davor stehen hast.

Und auch im Intranet ist es gefährlich, weil du ja nicht garantieren kannst, dass alle Geräte im Homeoffice sauber sind.

https://sysdig.com/blog/cve-critical-vulnerability-log4j/
https://www.heise.de/news/Kritische-Zero-Day-Luecke-in-log4j-gefaehrdet-zahlreiche-Server-und-Apps-6291653.html
Cert.at, Kritische 0-Day-Sicherheitslücke in Apache log4j-Bibliothek, abgerufen am 10.12.2021, https://cert.at/de/warnungen/2021/12/kritische-0-day-sicherheitslucke-in-apache-log4j-bibliothek
Log4j-Zero-Day, abgerufen am 10.12.2021, https://www.lunasec.io/docs/blog/log4j-zero-day/

Der Angreifer muss es nur schaffen, einen speziellen String ${jndi:ldap://127.0.0.1:1389/a} an das Log-Service weiterzugeben. Wenn die Anwendung zB einen Anmeldeversuch mit UID/PWD ins Log schreibt, simma schon fertig.

Re(2): Log4j - wie geht's euch damit?

Paulas_Papa — Mon, 13 Dec 2021 16:34:22 GMT

Sobald du irgendeine webfacing Application auf einer der betroffenen Plattformen hast, bist du ein Kandidat. Egal, welche Firewall du davor stehen hast.

Und auch im Intranet ist es gefährlich, weil du ja nicht garantieren kannst, dass alle Geräte im Homeoffice sauber sind.

https://sysdig.com/blog/cve-critical-vulnerability-log4j/
https://www.heise.de/news/Kritische-Zero-Day-Luecke-in-log4j-gefaehrdet-zahlreiche-Server-und-Apps-6291653.html

Der Angreifer muss es nur schaffen, einen speziellen String ${jndi:ldap://127.0.0.1:1389/a} an das Log-Service weiterzugeben. Wenn die Anwendung zB einen Anmeldeversuch mit UID/PWD ins Log schreibt, simma schon fertig.

Re: Log4j - wie geht's euch damit?

Freak_On_No_Leash — Mon, 13 Dec 2021 15:31:28 GMT

Also bei mir ist alles entspannt.

Hab alles hinter einer Forti, und rein darf eigentlich gar nix.
Raus nur das was soll.
Dann noch einen Haufen VLANs und fertig.

Re(3): Log4j - wie geht's euch damit?

scientificallyilliterate — Mon, 13 Dec 2021 14:04:02 GMT

> Und auch die Cloud Provider alle betroffen - da OpenSource, wo immer möglich.

Einerseits wäre ich gerne Mäuschen bei den Meetings unserer Cloud Kollegen, die nach der großen Patchsaison mit ziemlicher Sicherheit erst einmal rechtfertigen dürfen, wie es das Klumpert überhaupt durch unsere "Goldene Firewall des Vettings" durchgeschafft hat, also ohne dass jemand bei dem Commit aufschreit, andererseits: Nö, den Spaß können sie ruhig unter sich ausmachen.

> Ja, Hardware hat diesmal ein ruhigeres Weihnachten.

Wenn's wenigstens ETWAS Ruhe gäbe, aber ein "emerging workload" jagt den anderen...

Neue Idee für eine ISA-Erweiterung: TSLX; Transidiocracy Safe Logging Extensions. Ich brunz mich grad an.

Re(2): Log4j - wie geht's euch damit?

Paulas_Papa — Mon, 13 Dec 2021 13:57:13 GMT

Tausende Open Source Tools betroffen. Und natürlich auch die komplette Closed Source Palette. Von Oracle über RedHat etc. Der helle Wahnsinn.

Und auch die Cloud Provider alle betroffen - da OpenSource, wo immer möglich.

Ja, Hardware hat diesmal ein ruhigeres Weihnachten.

Re: Log4j - wie geht's euch damit?

scientificallyilliterate — Mon, 13 Dec 2021 13:48:33 GMT

> Habt ihr eure Weihnachtsurlaube schon storniert?

Nö. Hab erstens keine und muss mich zweitens nicht mit dem ganzen Software-Schmutz auseinandersetzen.

Re(2): Log4j - wie geht's euch damit?

TuxTux — Mon, 13 Dec 2021 13:45:10 GMT

war in den wichtigen IT Seiten schon am Freitag
https://heise.de/-6291653

Re(2): Log4j - wie geht's euch damit?

Paulas_Papa — Mon, 13 Dec 2021 13:33:58 GMT

Hat sogar der ORF am WE gebracht!

Re: Log4j - wie geht's euch damit?

Suremo — Mon, 13 Dec 2021 13:31:05 GMT

Letztes mal hats mich getroffen mit Überstunden, diesmal mit apache triffts mich nicht.
Bei uns intern ging das Mail Samstag Mittag an die Mitarbeiter raus, hat mich gewundert dass das erst heute in den Zeitungen aufgetaucht ist.

Log4j - wie geht's euch damit?

Paulas_Papa — Mon, 13 Dec 2021 13:12:53 GMT

Laut meinen Security Officern ist das die größte "Bombe" der letzten Jahre. Die Preise für "unerlaubte" root Zugänge zu unschuldigen Servern fallen im Darknet gegen Null. Scheinbar wurde die Lücke bereits erfolgreich & intensiv ausgeweidet.

Habt ihr eure Weihnachtsurlaube schon storniert?

Log4j - wie geht's euch damit?

Paulas_Papa — Mon, 13 Dec 2021 13:12:53 GMT

Laut meiner Security Officer ist das die größte "Bombe" der letzten Jahre. Die Preise für "unerlaubte" root Zugänge zu unschuldigen Servern fallen im Darknet gegen Null. Scheinbar wurde die Lücke bereits erfolgreich & intensiv ausgeweidet.

Habt ihr eure Weihnachtsurlaube schon storniert?