|
|
|
|
|
|
|
Bin mir ziemlich sicher, dass Kamel über die log4j Version spricht, nicht die Java Version.
|
|
|
|
|
|
|
|
|
|
|
Remko Popka ist da auch aktiv. Richtig angenehmer Typ. Kann seinen JVM CLI parser picocli wärmstens empfehlen.
|
|
|
|
|
|
|
|
|
|
|
| | Zitat von csde_rats
Also ich logge nur mit dietlibc, libowfat und syslog (ohne ng) Backend. Das ganze linke ich statisch und lasse es direkt als init= auf einem kleinen Rootserver mit 1.2 GHz Pentium M und 128 MB RAM laufen.
| |
Du hast vergessen zu erwähnen, dass Du ausschließlich Alpine Linux einsetzt?
Ist auch mein Kenntnisstand.
|
|
[Dieser Beitrag wurde 1 mal editiert; zum letzten Mal von hoschi am 14.12.2021 13:51]
|
|
|
|
|
|
|
|
|
| | Zitat von Noch_ein_Kamel
Wir haben einfach überall die 1.x Version drin.
Das habt ihr davon dass ihr immer auf den neuesten Quatsch updated!! Never touch a running system!!1
| |
ahjo dann habt ihr nur noch diese lücke von 2019 mit nem CVEE score von 9.8 offen.
https://nvd.nist.gov/vuln/detail/CVE-2019-17571
|
|
|
|
|
|
|
|
|
|
https://zerforschung.org/posts/zapptales/
Electron, Cloud, Zugangsdaten in Umgebungsvariable, alles offen in der AWS, Startup aus München...wie viele Klisches sind möglich?
Und dann nennt sich diese interessierte Gruppe auch noch Zerforschung 
Ich schäme mich für meine hingefrickelte Arbeit. Und mein Gewissen mag es auch nicht. Ich habe den Eindruck, dass immer mehr Leute, schneller und schlimmere Software entwickeln.
Vielleicht wäre es andersherum besser?
|
|
[Dieser Beitrag wurde 4 mal editiert; zum letzten Mal von hoschi am 14.12.2021 16:43]
|
|
|
|
|
|
|
|
|
Genau. Weil die Qualität der Software vor 10-15 so viel besser war. 
|
|
|
|
|
|
|
|
|
|
|
Ich find ehrlich gesagt immer am Schlimmsten an solchen Dingen, dass du selbst gar nicht mehr volle Kontrolle hast selsbt wenn du nicht auf diesen Wegen zu kommunizierst.
Ich bin da froh dass z.B. meine Mutter zumindest auf den Medien schreibt (mit mir) auf denen ich kommunizieren möchte, aber wenn man dann doch in den Gruppenfotos bei WhatsApp auftaucht, selbst wenn man da nicht aktiv ist, kann es sein dass iwelche Dritten, die nicht in der Gruppe Zugang zu diesen Daten haben.
Ist jetzt vorerst vllt nicht weiter schlimm, aber wenn die Fackelzüge dann iwann nicht einfach nur bei Gesundheitsministerix gemacht werden, dann willste so wenig wie möglich von dir rumliegen haben (Extrembeispiel)
Jaja ich weiß Paranoia...
|
|
|
|
|
|
|
|
|
|
|
| | Zitat von b4ckspin
| | Zitat von Noch_ein_Kamel
Wir haben einfach überall die 1.x Version drin.
Das habt ihr davon dass ihr immer auf den neuesten Quatsch updated!! Never touch a running system!!1
| |
https://www.bleepingcomputer.com/news/security/log4j-list-of-vulnerable-products-and-vendor-advisories/
Ganz unten:
Márcio Almeida, senior security engineer at Canva graphic design platform warns that Log4Shell attacks work with any version of Java when adding support for LDAP serialized payloads in the JNDI exploit kit.
The researcher explains that for the attack to work with any version of Java the classes used in the serialized payload need to be in the application classpath.
| |
Ich seh da keinen Zusammenhang zu 1.x
Da geht's doch nur darum dass Java Code eingeschleust wird und der Code funktioniert halt in der Java Version mit der er kompatibel ist.
|
|
|
|
|
|
|
|
|
|
|
| | | IBM’s advisory for Log4Shell shows that only WebSphere Application Server versions 9.0 and 8.5 were affected by the vulnerability, via the Admin Console and the UDDI Registry Application components, and that the issue has been addressed. | |
Ich bin quasi safe.
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
| | Zitat von SkunkyVillage
Genau. Weil die Qualität der Software vor 10-15 so viel besser war.
| |
Jo. Vor 15 Jahren war halt eher alles in lokalen Instanzen scheiße und nicht direkt für alle Welt in AWS einsehbar.
|
|
|
|
|
|
|
|
|
|
|
Ja ne klar. Natürlich ist es ein Feature.
Der Woonsan Ko hätte das gerne in log4j gehabt und hat selbst nen Patch mitgeliefert und dann wurde das halt als neues Feature eingebaut.
https://issues.apache.org/jira/browse/LOG4J2-313
Ist halt doof, dass man 8 Jahre später feststellt, dass JNDI ja bisschen mehr kann 
|
|
|
|
|
|
|
|
|
|
|
| | Zitat von Armag3ddon
| | Zitat von SkunkyVillage
Genau. Weil die Qualität der Software vor 10-15 so viel besser war.
| |
Jo. Vor 15 Jahren war halt eher alles in lokalen Instanzen scheiße und nicht direkt für alle Welt in AWS einsehbar.
| |
Jo, was hoschi da macht ist mir auch zu viel "old man yells at cloud". Ich gehe sogar im Gegenteil davon aus, dass der Entwicklernachwuchs im Zweifelsfall besser ausgebildet ist als wir es sind.
War's bei mir doch zu 99% Eigenstudium als klassischer Internetkacknerd seit Ende der 90er/Anfang der 00er.
Die Codequalität weltweit war schon immer mehr oder weniger scheiße, das ist kein exklusives Problem der heutigen Zeit. Das "Problem" ist eben das was du gerade nennst und außerdem die Tatsache, dass wir
a) noch enger vernetzt sind und
b) viel häufiger auf solche Standardlösungen zurückgreifen (was gut ist)
Aber wird dann eben so eine Standardlösung gebustet, dann betrifft es gleich so viel mehr als nur irgendeine Software, die sich Marcel Davis zuhause proprietär zusammengekloppt hat.
|
|
|
|
|
|
|
|
|
|
|
| | Zitat von hoschi
https://zerforschung.org/posts/zapptales/
Electron, Cloud, Zugangsdaten in Umgebungsvariable, alles offen in der AWS, Startup aus München...wie viele Klisches sind möglich?
Und dann nennt sich diese interessierte Gruppe auch noch Zerforschung
Ich schäme mich für meine hingefrickelte Arbeit. Und mein Gewissen mag es auch nicht. Ich habe den Eindruck, dass immer mehr Leute, schneller und schlimmere Software entwickeln.
Vielleicht wäre es andersherum besser?
| |
In der Hinsicht bin ich auch Boomer und lehne die moderne Entwicklung was Infrastruktur und Webentwicklung angeht ab. Aber Code war früher natürlich auch nicht besser.
|
|
|
|
|
|
|
|
|
|
|
Bei uns wurde vorhin verkündet, dass wir auf 2.16.0 upgraden müssen, auch wenn wir bereits auf 2.15.0 sind.
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Jo, die entsprechende CVE wird bei uns immer als Begründung mitgeliefert
|
|
|
|
|
|
|
|
|
|
|
| | Zitat von Oli
| | Zitat von hoschi
https://zerforschung.org/posts/zapptales/
Electron, Cloud, Zugangsdaten in Umgebungsvariable, alles offen in der AWS, Startup aus München...wie viele Klisches sind möglich?
Und dann nennt sich diese interessierte Gruppe auch noch Zerforschung
Ich schäme mich für meine hingefrickelte Arbeit. Und mein Gewissen mag es auch nicht. Ich habe den Eindruck, dass immer mehr Leute, schneller und schlimmere Software entwickeln.
Vielleicht wäre es andersherum besser?
| |
In der Hinsicht bin ich auch Boomer und lehne die moderne Entwicklung was Infrastruktur und Webentwicklung angeht ab. Aber Code war früher natürlich auch nicht besser.
| |
Auch die alten Infrastrukturen sind nicht strickt besser. Es ist immer irgendwo ein Tradeoff den man eingehen muss.
|
|
|
|
|
|
|
|
|
|
|
| | Zitat von hoschi
https://zerforschung.org/posts/zapptales/
Electron, Cloud, Zugangsdaten in Umgebungsvariable, alles offen in der AWS, Startup aus München...wie viele Klisches sind möglich?
Und dann nennt sich diese interessierte Gruppe auch noch Zerforschung
Ich schäme mich für meine hingefrickelte Arbeit. Und mein Gewissen mag es auch nicht. Ich habe den Eindruck, dass immer mehr Leute, schneller und schlimmere Software entwickeln.
Vielleicht wäre es andersherum besser?
| |
Dein Rundumschlag ist etwas dünn. Der einzige "echte" Fehler war, dass das AWS Token ausgeliefert wurde. Das ist natürlich dum. Aber wie viele GitHub-Repos haben PrivateKeys veröffentlicht von selbst vermeitlich gestandenen Entwicklern? Bad things happen.
(Fun fact: Das Problem hat sich übrigens nicht in Luft aufgelöst. Sondern ist so gravierende geworden, das GitHub alle repos nach secrets absucht)
Über den Rest kann man sich streiten. Aber mit Daten wird heute halt im Internet Geld verdient.
|
|
|
|
|
|
|
|
|
|
|
|
Ich verstehe nicht, was solche Fälle wie dieses Fotobuch mit "moderner Architektur oder Webenrwicklung" zu tun haben. Sie sind eine Folge von "keinen Fick geben", wie auch die ganzen Testzentrumsfälle, die Zerforschung beackert hat. Der einzige Grund, wieso das passiert, ist Desinteresse seitens der Handelnden. Ein Desinteresse, dem der Staat mit geeigneten Kontrollen und vor allem Strafen begegnen könnte. Ne API abzusichern oder kein heheimes Zugangstoken shippen ist ja nu echt kein Hexenwerk.
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
| | Zitat von Ameisenfutter
Ne API abzusichern oder kein geheimes Zugangstoken shippen ist ja nu echt kein Hexenwerk.
| |
Vermutlich doch, dann müsste man ja OAuth/OpenID verstehen und korrekt umsetzen. Klar, das implementieren die Libraries, aber das korrekt zu konfigurieren ist nicht nur copy/paste. Alternativ shippt man halt fixe keys, ist ja einfacher. 
|
|
|
|
|
|
|
|
|
|
|
Habe jetzt Heilquarze neben den Switchen aufgestellt das geht auch ohne Patchen, die Admins bekommen trotzdem sicherheitshalber noch Hundekuchen. Hab gelesen das Dr. Dau Eightbit das empfohlen hat. Macht das auch, seid keine Schafe!
Heilquarze sind ja unseriös, aber so 'ne Security-Appliance überm Switch im Rack... WAF hilft bestimmt!11
|
|
|
|
|
|
|
|
|
|
|
| | Zitat von Oli
| | Zitat von hoschi
https://zerforschung.org/posts/zapptales/
Electron, Cloud, Zugangsdaten in Umgebungsvariable, alles offen in der AWS, Startup aus München...wie viele Klisches sind möglich?
Und dann nennt sich diese interessierte Gruppe auch noch Zerforschung
Ich schäme mich für meine hingefrickelte Arbeit. Und mein Gewissen mag es auch nicht. Ich habe den Eindruck, dass immer mehr Leute, schneller und schlimmere Software entwickeln.
Vielleicht wäre es andersherum besser?
| |
In der Hinsicht bin ich auch Boomer und lehne die moderne Entwicklung was Infrastruktur und Webentwicklung angeht ab. Aber Code war früher natürlich auch nicht besser.
| |
Was soll ich sagen?
Der Code war früher nicht besser. Ich sehe es an meinem eigenen Code und dem Legacycode hier. Ich bin begeistert über moderne Lösungen wie die Sanitizer in GCC oder LLVM. Vor dem Hintergrund bin ich beeindruckt darüber, wie verlässlich manch ältere Software ist und mit weniger oder gar keinen Updates auskommt. Da war auch die Komplexität geringer, im positiven Sinn. In dem Sinne vermisse ich das KISS-Prinzip. Für C++ kannte ich keine Biblithoek für Logging - außer das was SysV bzw. Systemd bieten - und habe meine Sachen selbst implementiert. Bei Java ist das für mich automatisch immer Log4j. Ich mache auch nur das was ich kenne.
Als Negativbeispiele fällt mir hier die Webapp von uns ein, wir haben über 120 verschiedene Abhängigkeiten. Ich kann das Ding kaum noch pflegen. Und ich frage mich auch was die bei der App von Chase (Bank) machen, deren App speichert nichtmal die Kontonummer lokal oder die Umsätze - nur ist die App auf dem iPhone inzwischen über 450 MB groß. Hilfe
| | Zitat von Ameisenfutter
Ich verstehe nicht, was solche Fälle wie dieses Fotobuch mit "moderner Architektur oder Webenrwicklung" zu tun haben. Sie sind eine Folge von "keinen Fick geben", wie auch die ganzen Testzentrumsfälle, die Zerforschung beackert hat. Der einzige Grund, wieso das passiert, ist Desinteresse seitens der Handelnden. Ein Desinteresse, dem der Staat mit geeigneten Kontrollen und vor allem Strafen begegnen könnte. Ne API abzusichern oder kein heheimes Zugangstoken shippen ist ja nu echt kein Hexenwerk.
| |
Nicht nur die Betreiber interessieren sich nicht. Auch die Kunden. Irgendwer hat ja auch die 21 TB an intimen, privatesten Daten in das Internet hochgeladen.
Ich werde aber komisch angesehen, weil ich bei WhatsApp die Kontaktdaten nicht freigebe. Deswegen gehen Broadcast-Messages nicht an mich raus. Ich tue es bei Signal und indirekt über Apple zu Heinlein, bei den einen gibt es Quellcode und eine Stiftung und bei den anderen habe ich eine Geschäftsbeziehung. Umgekehrt würde es mir nicht in den Sinn kommen eine Firma wie Facebook offenen Zugriff auf die private Notizen, Geburtsdaten und mehr zu geben. Kann trotzdem was schief gehen, klar.
Ich kann da KingGinords Gefühl nachvollziehen. Wobei ich mir um die Gruppenfotos noch weniger Sorgen mache. Ich bin viel mehr froh, wenn jemand beim Profilbild ein Foto von sich selbst drin hat. Dann kann ich wenigstens Namen und Gesicht zuordnen (Signal hat das Problem erkannt, aber nicht vollstandig gelöst).
Streitbarer Kommentar zu Log4j.
|
|
[Dieser Beitrag wurde 2 mal editiert; zum letzten Mal von hoschi am 15.12.2021 18:27]
|
|
|
|
|
|
|
|
|
| | Zitat von hoschi
Bei Java ist das für mich automatisch immer Log4j. Ich mache auch nur das was ich kenne.
| |
Was soll das, man nimmt natürlich slf4j  Man kann dann natürlich immer noch die log4j bindings nehmen.
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
slf4j ist schon sehr nice, v.a. wenn man eine library entwickelt und nicht eine application. Dann kann man einfach das logging interface verwenden und der Endnutzer kann dann in seiner Anwendung die Implementierung spezifizieren, z.B. log4j, logback, etc. Andernfalls zwingt man als Entwickler allen downstream Nutzern die Wahl der logging Implementierung auf. Im schlimmsten Fall hat der Endnutzer dann verschiedene logging Implementierungen, die alle auch ihre eigene Konfiguration haben.
|
|
|
|
|
|
|
|
|
|
|
Das gestatte ich.
|
|
|
|
|
|
|
|
|
|
|
|
|
|
| Thema: Software-Entwicklung 0 ( new SammelThread() ) |
