Java Minecraft Sicherheitslücke log4j

  • An die, die es noch nicht mitbekommen haben.

    Es gibt eine schwerwiegende Sicherheitslücke in Java (log4j).

    https://www.golem.de/news/log4…endungen-2112-161714.html

    https://security-tracker.debian.org/tracker/CVE-2021-44228

    Das betrifft hier vor allem Leute, die z.B. einen Minecraft-Java-Server betreiben.

    Über die Lücke lässt sich mit einer simplen Chatnachricht Code einschleusen und ausführen, somit den Server und alle Clients, die sich anmelden übernehmen.

  • fred0815

    Changed the title of the thread from “Java Minecraft Sicherheitslücke” to “Java Minecraft Sicherheitslücke log4j”.
  • Nicht nur Minecraft, auch ganz normale Server (Hier Buster64 mit Apache-server)

    Code
    apt search log4j
    ...
    liblog4j1.2-java/oldstable,oldstable,oldstable,oldstable,now 1.2.17-8+deb10u1 all  [Installiert,automatisch]
      Bibliothek zum Protokollieren für Java
    ...


    Noch ein Link:

    https://www.heise.de/news/Rote…r-und-Firmen-6292863.html


    MfG


    Jürgen

  • Post by Urs-1956 ().

    This post was deleted by the author themselves ().
  • Ausgabe meines pihole für apt search log4j


    Da werden wohl etliche Updates fällig.

  • Da werden wohl etliche Updates fällig.

    Wie ist die Ausgabe von:

    Code
    sudo apt update && sudo apt policy liblog4j2-java

    ?

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

  • Auf das Problem ist man schon 2016 gestoßen. Es muss immer erst alles brennen, bis die Ignoranten mal aus dem Arsch kommen.


    Die Anwendungsentwickler haben Bibliotheken genutzt, weil man ihnen gesagt hat, dass das besser für die Sicherheit ist.

    Dumm ist es nur, wenn den Anwendungsentwicklern niemand mitteilt, dass die Funktion unsicher ist und die verwendete Bibliothek/Klasse nur von maximal 2 Personen gewartet wird.


    An diesem und vielen anderen Beispielen kann man sehr deutlich sehen, dass wir unsere Software absolut nicht mehr im Griff haben und das wird immer schlimmer, anstatt besser.

  • Code
    liblog4j2-java:
      Installiert:           (keine)
      Installationskandidat: 2.15.0-1~deb10u1
      Versionstabelle:
         2.15.0-1~deb10u1 500
            500 http://deb.debian.org/debian-security buster/updates/main arm64 Packages
            500 http://deb.debian.org/debian-security buster/updates/main armhf Packages
         2.11.1-2 500
            500 http://deb.debian.org/debian buster/main arm64 Packages
            500 http://deb.debian.org/debian buster/main armhf Packages

    MfG


    Jürgen

  • currently have a full time job as a Software Architect. I work on Log4j and other open source projects in my spare time and so I typically work on those issues that are of most interest to me.

    Auch da wieder das allseits bekannte

    Wenn du nichts zu sagen hast, sag einfach nichts.

    Edited once, last by llutz ().

  • Wie ist die Ausgabe von:

    Code
    sudo apt update && sudo apt policy liblog4j2-java

    ?

    Code
    liblog4j2-java:
      Installiert:           (keine)
      Installationskandidat: 2.15.0-1~deb10u1
      Versionstabelle:
         2.15.0-1~deb10u1 500
            500 http://raspbian.raspberrypi.org/raspbian buster/main armhf Packages

    OK, wenn man die richtigen Fragen stellen kann, bekommt man die richtigen Antworten 😉😊 Danke dafür!

    Die 2.15.x wäre wohl save.

  • Das ist ein allgemeines Problem von OpenSource. Ich erinnere mich nur daran wie AVM und andere Routerhersteller Patches gebaut haben weil irgendeine Komponente im Linux ein Securityloch hatte.

    "Really, I'm not out to destroy Microsoft. That will just be a completely unintentional side effect."

    Linus Benedict Torvalds, 28.9.2003


    Hast Du die Woche schon Deine Raspberry gesichert :fies: Bei mir tut das raspiBackup automatisch :shy:

  • Interessant: Unter Linux Mint (PC) ist die Datei auch nicht installiert, der Installationskandiat aber älter:

    Code
      Installiert:           (keine)
      Installationskandidat: 2.11.2-1
      Versionstabelle:
         2.11.2-1 500

    Damit würde man sich den Fehler einfangen.

  • Desgleichen bei Ubunt20.04 (ich habe noch kein 21 installiert ;) )


    Code
    liblog4j2-java:
      Installed: (none)
      Candidate: 2.11.2-1
      Version table:
         2.11.2-1 500
            500 http://archive.ubuntu.com/ubuntu focal/universe amd64 Package

    Gruss

  • Also ich glaube weder, dass es wirklich immer schlimmer wird, noch, dass das ein spezielles Problem von OpenSource ist. Ob das nun jemand in seiner Freizeit macht und hauptsächlich Issues angeht die interessieren, oder in einer Firma und hauptsächlich Issues angeht die den Boss/die Marketing-Abteilung interessieren, und Sicherheitslücken vorrangig ein PR-Problem sind, und erst in zweiter Linie etwas für das Geld und Zeit zum fixen da sein muss, ändert nicht so wirklich viel. „Entwickler kümmert sich aus irgendwelchen Gründen nicht mehr“, gibt es ebenfalls innerhalb und ausserhalb von OpenSource. Was da so bei Firmen „closed source“ so vor sich hin gammelt und trotzdem am Netz hängt, sieht man halt nur nicht öffentlich, aber es ist da.


    Das mit dem ”schlimmer statt besser werden” klingt ein bisschen nach alten Leuten die über die Jugend schimpfen, die angeblich immer schlimmer wird. Das haben schon die Griechen in der Antike gemacht.

    “If debugging is the process of removing software bugs, then programming must be the process of putting them in.” — Edsger Dijkstra

  • Was da so bei Firmen „closed source“ so vor sich hin gammelt und trotzdem am Netz hängt, sieht man halt nur nicht öffentlich, aber es ist da.

    Full ACK. Nur ist es bei OpenSource so dass sich jeder dort aus Kostengruenden bedient und wenn dann mal eine viel genutzte SW ein SecurityBug hat hat das entsprechende Auswirkungen. Homegrown SW dagegen hat nur Auswirkungen in der Firma.

    Das mit dem ”schlimmer statt besser werden” klingt ein bisschen nach alten Leuten die über die Jugend schimpfen, die angeblich immer schlimmer wird. Das haben schon die Griechen in der Antike gemacht.

    :lol: Du musst doch aber zugeben dass frueher nicht so viel OpenSource in allen moeglichen Geraeten drinsteckte und somit die Auswirkungen von Securitybugs lokal und nicht global waren.

    "Really, I'm not out to destroy Microsoft. That will just be a completely unintentional side effect."

    Linus Benedict Torvalds, 28.9.2003


    Hast Du die Woche schon Deine Raspberry gesichert :fies: Bei mir tut das raspiBackup automatisch :shy:

  • Früher steckte gar keine Software in allen möglichen Geräten. Und auch früher gab es verbreitete Softwarekomponenten mit Fehlern, die dazugekauft oder geklaut waren. Und für Geräte wurde und wird oft der Referenzcode vom Hersteller der verbauten Chips in die eigenen Produkte kopiert. Und/oder gleich die ganze Firmware vom Konkurrenten kopiert. *Das* mag heute sogar besser sein, weil die Gefahr dafür von Anwälten erfolgreich auf die Finger geklopft zu bekommen, vielleicht grösser ist. 🙂

    “If debugging is the process of removing software bugs, then programming must be the process of putting them in.” — Edsger Dijkstra

  • Früher steckte gar keine Software in allen möglichen Geräten.

    Die Frage ist was man unter "frueher" versteht.

    Und auch früher gab es verbreitete Softwarekomponenten mit Fehlern, die dazugekauft oder geklaut waren.

    Aber die Anzahl der Geraete war ueberschaubar. In einem VW Kaefer steckte ja noch kein Prozessor drin :) Das ist heutzutage anders. Zumal viele Geraete weltweit vertrieben werden.

    *Das* mag heute sogar besser sein, weil die Gefahr dafür von Anwälten erfolgreich auf die Finger geklopft zu bekommen, vielleicht grösser ist

    Bei OpenSource darf bzw will man auch bewusst dass man die SW nutzt sofern man sich an die Nutzungsbedingungen haelt.

    "Really, I'm not out to destroy Microsoft. That will just be a completely unintentional side effect."

    Linus Benedict Torvalds, 28.9.2003


    Hast Du die Woche schon Deine Raspberry gesichert :fies: Bei mir tut das raspiBackup automatisch :shy:

  • Hallo,

    Du musst doch aber zugeben dass frueher nicht so viel OpenSource in allen moeglichen Geraeten drinsteckte und somit die Auswirkungen von Securitybugs lokal und nicht global waren.

    Die Logik erschließt sich mir nicht - also wo ist der Zusammenhang mit OpenSource? Früher war mehr Closed Source Software drin, da konnte halt keiner so richtig Bugs finden. Was ja nicht heißt, dass es besser war.


    Vor vielen Jahren war mal in der c't ein längeren Artikel über Codequalität und Fehler pro 1000 Zeilen Code. Die einzige Software, die bei einem Wert < 1 lag war die, die im Space Shuttle / in der Raumfahrt läuft. Was IMHO wiederrum das bestätigt, was __blackjack__ sagte: kommerzielles und persönliches Interesse ist der Treiber. Wenn in der Raumfahrt was schief geht, ist das halt ultra-teuer und i.d.R. ein PR Desaster. Also macht es für NASA & Co schon Sinn, da mal ein paar mehr Entwickler dran zu setzen. Trifft aus viele anderen Anwendungen halt nicht zu.


    Gruß, noiseflooor

  • Die Logik erschließt sich mir nicht - also wo ist der Zusammenhang mit OpenSource? Früher war mehr Closed Source Software drin, da konnte halt keiner so richtig Bugs finden. Was ja nicht heißt, dass es besser war.

    Ich bestreite ja nicht dass es auch in ClosedSW Bugs gibt. Durch OpenSource (OS) werden sie meist schneller gefunden da der Sourcecode von jedem einsichtbar ist. Die Zahl der weltweiten SW Entwickler ist >>> Anzahl Firmen SW Entwickler und sofern sich jemand in der OS Code einarbeitet und versteht ist die Wahrscheinlichkeit in OS Bugs zu finden natuerlich groesser.


    Mein Punkt ist nur dass durch den Kostendruck immer mehr Firmen dazu uebergehen OS zu nutzen und sich somit OS immer mehr verbreitet. Wenn dann in OS ein severe Bug gefunden wird hat das wesentlich groessere Auswirkungen als zu der Zeit wo es noch keine OS gab.

    "Really, I'm not out to destroy Microsoft. That will just be a completely unintentional side effect."

    Linus Benedict Torvalds, 28.9.2003


    Hast Du die Woche schon Deine Raspberry gesichert :fies: Bei mir tut das raspiBackup automatisch :shy:

  • Diejenigen, die sich andauernd an OpenSource wie in einem Selbstbedienungsladen bedienen, aber nichts zurückgeben, haben solche Probleme einfach verdient.


    Der Entwickler von log4j übernimmt keinerlei Haftung.

    Das ist die Regel bei OpenSource und das ist auch richtig so, sonst würde niemand mehr trauen Software anbieten.


    Die Haftung liegt beim Nutzer, also demjenigen, der die Software verwendet: Google, Facebook, Apple, Twitter, ...

    Wenn diese Unternehmen nun aufgrund der Lücke ein Datenleck haben, haften die Unternehmen dafür.

    Hier in Deutschland bekommen wir kein Recht, aber in den USA könnte eine Sammelklage funktionieren.


    Das ist noch nicht das Ende von log4j, da wird noch einiges hinterherkommen.

    Jetzt nachdem diese Lücke bekannt ist, wird man in anderen Sprachen nach ähnlichen Bugs suchen (hoffentlich).


    Bei Python ist es z.B. bekannt und es wird auch dafür gewarnt keinerlei pickle-Dateien aus fremden Quellen zu parsen.

    Beispiel für einen Exploit: