|
|
|
|
|
|
|
Wenn wer seine Forms oder APIs oder was auch immer proben will, ganz praktisch:
https://log4shell.huntress.com/
(ohne Garantie, dass die keinen Schund machen)
|
|
|
|
|
|
|
|
|
|
|
Die Forensuche läuft ja mit Elastic, aber scheint nicht vulnerable zu sein. Wohoo!
|
|
|
|
|
|
|
|
|
|
|
Bei uns gab es auch schon mehrere Mails, dass sämtliche Projekte sich selbst auf die Schwachstelle abklopfen sollen.
Aber:
Please assess the impact not to harm any business operations before taking the actions.
Business Operations > Security. Weil ist ja klar. Lieber 5 Minuten länger Business machen, als schnell zu handeln und sich dafür nicht Ransomware/whatever einfangen.
|
|
[Dieser Beitrag wurde 1 mal editiert; zum letzten Mal von g0n0 am 13.12.2021 15:02]
|
|
|
|
|
|
|
|
|
Bei uns sind beide großen Kundenplattformen bzw. die darunterliegende Technologie betroffen 
Patches natürlich bisher keine in Sicht. Haben jetzt erstmal diesen Umgebungsvariablen-Workaround ausgerollt sowie sämtlichen ausgehenden Traffic abgeklemmt und hoffen, dass das ausreicht bis die Patches eintreffen.
|
|
|
|
|
|
|
|
|
|
|
Geil, Tableau ist betroffen. Natürlich gibts bisher kein Update.
Also selbst im login form schon.
|
|
[Dieser Beitrag wurde 1 mal editiert; zum letzten Mal von Admiral Bohm am 13.12.2021 14:44]
|
|
|
|
|
|
|
|
|
bin im sharepoint (online) business und damit erstmal safe
bis log4net gebustet wird 
|
|
|
|
|
|
|
|
|
|
|
| | Zitat von Admiral Bohm
Geil, Tableau ist betroffen. Natürlich gibts bisher kein Update.
Also selbst im login form schon.
| |
Ja das war eine von beiden Applikationen bei uns. Die andere war IBM Cognos. Nicht gerade zwei Leichtgewichte würde ich meinen.
|
|
|
|
|
|
|
|
|
|
|
|
Mein Urlaub diese Woche wird immer schöner.
|
|
|
|
|
|
|
|
|
|
|
Noch am WE geprüft, sind nicht betroffen. 
|
|
|
|
|
|
|
|
|
|
| | Zitat von asnu
| | Zitat von Admiral Bohm
Geil, Tableau ist betroffen. Natürlich gibts bisher kein Update.
Also selbst im login form schon.
| |
Ja das war eine von beiden Applikationen bei uns. Die andere war IBM Cognos. Nicht gerade zwei Leichtgewichte würde ich meinen.
| |
Für Tableau funktioniert zumindest LOG4J_FORMAT_MSG_NO_LOOKUPS=true in der Umgebung.
|
|
|
|
|
|
|
|
|
|
|
Ja, die wurde bei uns jetzt komplett per GPO in der gesamten Firma ausgerollt. Better safe than sorry.
Das traurige ist das obwohl Tableau wie man hier sehen kann ganz klar betroffen ist heißt es offiziell immer noch "wir untersuchen das und liefern ggf. Patches". Bin mal gespannt wie übel das noch wird und wie viele Webshells und/oder Ransomware Angriffe in der nächsten Zeit noch kommen.
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Wir haben einfach überall die 1.x Version drin.
Das habt ihr davon dass ihr immer auf den neuesten Quatsch updated!! Never touch a running system!!1
|
|
|
|
|
|
|
|
|
|
|
Du bist nicht allein Kamel 
Du bist nicht allein 
|
|
|
|
|
|
|
|
|
|
|
|
Wieso muss eine Logging Library eigentlich überhaupt nach draußen telefonieren können - und noch absurder - einkommende Strings interpretieren? So many watts.
|
|
[Dieser Beitrag wurde 1 mal editiert; zum letzten Mal von SkunkyVillage am 13.12.2021 17:27]
|
|
|
|
|
|
|
|
|
|
|
[Dieser Beitrag wurde 1 mal editiert; zum letzten Mal von derSenner am 13.12.2021 17:45]
|
|
|
|
|
|
|
|
|
| | Zitat von SkunkyVillage
Wieso muss eine Logging Library überhaupt einkommende Strings interpretieren?
| |
Irgendwie bin ich fast ein bisschen stolz darauf, dass ich das Logging in unserer Clientanwendung per Hand geschrieben habe. Ich habe sicher irgendwas falsch gemacht - aber ich interpretiere die Logmeldungen nicht.
|
|
|
|
|
|
|
|
|
|
|
| | Zitat von hoschi
Keine Unterhaltung über Log4j?
Vielleicht fangen sie jetzt wieder an die Infrastruktur um Java abzuklopfen. Das könnte heiter werden.
| |
Bei uns kam es direkt am Freitag in whitesource rein.
|
|
|
|
|
|
|
|
|
|
|
| | Zitat von hoschi
Vielleicht fangen sie jetzt wieder an die Infrastruktur um Java abzuklopfen. Das könnte heiter werden.
| |
Jo, dann erzähl mal.
|
|
|
|
|
|
|
|
|
|
|
|
Also auf 3 Milliarden Geräten läuft Java... ;---)
|
|
|
|
|
|
|
|
|
|
|
Das ist gerade mir klar, aber ich hätte gerne eine andere Lösung, als dass sich jeder seine eigene Lösung zusammenfriemelt.
¤: Auf nicht unbeträchtlichen dürfte Schranz von mir laufen, ich bin da immer offen für Input.
|
|
[Dieser Beitrag wurde 2 mal editiert; zum letzten Mal von SwissBushIndian am 13.12.2021 21:26]
|
|
|
|
|
|
|
|
|
| | Zitat von Noch_ein_Kamel
Wir haben einfach überall die 1.x Version drin.
Das habt ihr davon dass ihr immer auf den neuesten Quatsch updated!! Never touch a running system!!1
| |
Einfach nur Standard-Bibliotheken benutzen:
"Wie loggt ihr denn?" - "System.println"
|
|
|
|
|
|
|
|
|
|
|
| | Zitat von cms
| | Zitat von Noch_ein_Kamel
Wir haben einfach überall die 1.x Version drin.
Das habt ihr davon dass ihr immer auf den neuesten Quatsch updated!! Never touch a running system!!1
| |
Einfach nur Standard-Bibliotheken benutzen:
"Wie loggt ihr denn?" - "System.println"
| |
Wie parst ihr XML? Ja Regex? ;-)
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Also ich logge nur mit dietlibc, libowfat und syslog (ohne ng) Backend. Das ganze linke ich statisch und lasse es direkt als init= auf einem kleinen Rootserver mit 1.2 GHz Pentium M und 128 MB RAM laufen.
|
|
[Dieser Beitrag wurde 1 mal editiert; zum letzten Mal von csde_rats am 13.12.2021 22:22]
|
|
|
|
|
|
|
|
|
Dich hole ich mir zuerst.
|
|
[Dieser Beitrag wurde 1 mal editiert; zum letzten Mal von SwissBushIndian am 13.12.2021 22:37]
|
|
|
|
|
|
|
|
|
| | Zitat von Noch_ein_Kamel
| | Zitat von cms
| | Zitat von Noch_ein_Kamel
Wir haben einfach überall die 1.x Version drin.
Das habt ihr davon dass ihr immer auf den neuesten Quatsch updated!! Never touch a running system!!1
| |
Einfach nur Standard-Bibliotheken benutzen:
"Wie loggt ihr denn?" - "System.println"
| |
Wie parst ihr XML? Ja Regex? ;-)
| |
xml parsen?! bist du verrückt? kannst ja ja direkt am starkstrom lecken ohne personenschutz-FI.
|
|
|
|
|
|
|
|
|
|
|
| | Zitat von Noch_ein_Kamel
Wir haben einfach überall die 1.x Version drin.
Das habt ihr davon dass ihr immer auf den neuesten Quatsch updated!! Never touch a running system!!1
| |
https://www.bleepingcomputer.com/news/security/log4j-list-of-vulnerable-products-and-vendor-advisories/
Ganz unten:
Márcio Almeida, senior security engineer at Canva graphic design platform warns that Log4Shell attacks work with any version of Java when adding support for LDAP serialized payloads in the JNDI exploit kit.
The researcher explains that for the attack to work with any version of Java the classes used in the serialized payload need to be in the application classpath.
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
| | Zitat von Oli
Ihr logged?
| |
Natürlich nicht, System.out.println hat keine Sicherheitslücken
|
|
|
|
|
|
|
|
| Thema: Software-Entwicklung 0 ( new SammelThread() ) |
