Java Minecraft Sicherheitslücke log4j

  • An die, die es noch nicht mitbekommen haben.

    Es gibt eine schwerwiegende Sicherheitslücke in Java (log4j).

    https://www.golem.de/news/log4j-kri…112-161714.html

    https://security-tracker.debian.org/tracker/CVE-2021-44228

    Das betrifft hier vor allem Leute, die z.B. einen Minecraft-Java-Server betreiben.

    Über die Lücke lässt sich mit einer simplen Chatnachricht Code einschleusen und ausführen, somit den Server und alle Clients, die sich anmelden übernehmen.

  • Nicht nur Minecraft, auch ganz normale Server (Hier Buster64 mit Apache-server)

    Code
    apt search log4j
    ...
    liblog4j1.2-java/oldstable,oldstable,oldstable,oldstable,now 1.2.17-8+deb10u1 all  [Installiert,automatisch]
      Bibliothek zum Protokollieren für Java
    ...

    Noch ein Link:

    https://www.heise.de/news/Roter-Ala…en-6292863.html

    MfG

    Jürgen

  • Beitrag von Urs-1956 (13. Dezember 2021 um 09:33)

    Dieser Beitrag wurde gelöscht, Informationen über den Löschvorgang sind nicht verfügbar.
  • Ausgabe meines pihole für apt search log4j

    Da werden wohl etliche Updates fällig.

    Spoiler anzeigen

    Pi4 V1.1, 4 GB, USB3-Hub, 250 GB SSD, Bullseye 64, Mate-Desktop, SD-Card Extender (ruht)
    Pi3b Pihole (Buster)
    Pi3b, 128-GB-SSD, Buster, mit 10,1" Monitor als MM (ohne Spiegel ;) )
    orangepi zero, ohne Beschäftigung
    Pi 5 4 GB im GeekPi-Gehäuse mit externer SSD (Bookworm)


    Warnung: Raspi und Co. machen süchtig! :)

  • Hier ein aktueller Artikel von heise Security:

    https://www.heise.de/ratgeber/Schut…ht-6292961.html

    Spoiler anzeigen

    Pi4 V1.1, 4 GB, USB3-Hub, 250 GB SSD, Bullseye 64, Mate-Desktop, SD-Card Extender (ruht)
    Pi3b Pihole (Buster)
    Pi3b, 128-GB-SSD, Buster, mit 10,1" Monitor als MM (ohne Spiegel ;) )
    orangepi zero, ohne Beschäftigung
    Pi 5 4 GB im GeekPi-Gehäuse mit externer SSD (Bookworm)


    Warnung: Raspi und Co. machen süchtig! :)

  • Da werden wohl etliche Updates fällig.

    Wie ist die Ausgabe von:

    Code
    sudo apt update && sudo apt policy liblog4j2-java

    ?

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

  • Auf das Problem ist man schon 2016 gestoßen. Es muss immer erst alles brennen, bis die Ignoranten mal aus dem Arsch kommen.

    Die Anwendungsentwickler haben Bibliotheken genutzt, weil man ihnen gesagt hat, dass das besser für die Sicherheit ist.

    Dumm ist es nur, wenn den Anwendungsentwicklern niemand mitteilt, dass die Funktion unsicher ist und die verwendete Bibliothek/Klasse nur von maximal 2 Personen gewartet wird.

    An diesem und vielen anderen Beispielen kann man sehr deutlich sehen, dass wir unsere Software absolut nicht mehr im Griff haben und das wird immer schlimmer, anstatt besser.

  • Code
    liblog4j2-java:
      Installiert:           (keine)
      Installationskandidat: 2.15.0-1~deb10u1
      Versionstabelle:
         2.15.0-1~deb10u1 500
            500 http://deb.debian.org/debian-security buster/updates/main arm64 Packages
            500 http://deb.debian.org/debian-security buster/updates/main armhf Packages
         2.11.1-2 500
            500 http://deb.debian.org/debian buster/main arm64 Packages
            500 http://deb.debian.org/debian buster/main armhf Packages

    MfG

    Jürgen

  • currently have a full time job as a Software Architect. I work on Log4j and other open source projects in my spare time and so I typically work on those issues that are of most interest to me.

    Auch da wieder das allseits bekannte

    Spoiler anzeigen

    Wenn du nichts zu sagen hast, sag einfach nichts.

    Einmal editiert, zuletzt von llutz (13. Dezember 2021 um 11:52)

  • Wie ist die Ausgabe von:

    Code
    sudo apt update && sudo apt policy liblog4j2-java

    ?

    Code
    liblog4j2-java:
      Installiert:           (keine)
      Installationskandidat: 2.15.0-1~deb10u1
      Versionstabelle:
         2.15.0-1~deb10u1 500
            500 http://raspbian.raspberrypi.org/raspbian buster/main armhf Packages

    OK, wenn man die richtigen Fragen stellen kann, bekommt man die richtigen Antworten ?? Danke dafür!

    Die 2.15.x wäre wohl save.

    Spoiler anzeigen

    Pi4 V1.1, 4 GB, USB3-Hub, 250 GB SSD, Bullseye 64, Mate-Desktop, SD-Card Extender (ruht)
    Pi3b Pihole (Buster)
    Pi3b, 128-GB-SSD, Buster, mit 10,1" Monitor als MM (ohne Spiegel ;) )
    orangepi zero, ohne Beschäftigung
    Pi 5 4 GB im GeekPi-Gehäuse mit externer SSD (Bookworm)


    Warnung: Raspi und Co. machen süchtig! :)

  • Interessant: Unter Linux Mint (PC) ist die Datei auch nicht installiert, der Installationskandiat aber älter:

    Code
      Installiert:           (keine)
      Installationskandidat: 2.11.2-1
      Versionstabelle:
         2.11.2-1 500

    Damit würde man sich den Fehler einfangen.

    Spoiler anzeigen

    Pi4 V1.1, 4 GB, USB3-Hub, 250 GB SSD, Bullseye 64, Mate-Desktop, SD-Card Extender (ruht)
    Pi3b Pihole (Buster)
    Pi3b, 128-GB-SSD, Buster, mit 10,1" Monitor als MM (ohne Spiegel ;) )
    orangepi zero, ohne Beschäftigung
    Pi 5 4 GB im GeekPi-Gehäuse mit externer SSD (Bookworm)


    Warnung: Raspi und Co. machen süchtig! :)

  • Also ich glaube weder, dass es wirklich immer schlimmer wird, noch, dass das ein spezielles Problem von OpenSource ist. Ob das nun jemand in seiner Freizeit macht und hauptsächlich Issues angeht die interessieren, oder in einer Firma und hauptsächlich Issues angeht die den Boss/die Marketing-Abteilung interessieren, und Sicherheitslücken vorrangig ein PR-Problem sind, und erst in zweiter Linie etwas für das Geld und Zeit zum fixen da sein muss, ändert nicht so wirklich viel. „Entwickler kümmert sich aus irgendwelchen Gründen nicht mehr“, gibt es ebenfalls innerhalb und ausserhalb von OpenSource. Was da so bei Firmen „closed source“ so vor sich hin gammelt und trotzdem am Netz hängt, sieht man halt nur nicht öffentlich, aber es ist da.

    Das mit dem ”schlimmer statt besser werden” klingt ein bisschen nach alten Leuten die über die Jugend schimpfen, die angeblich immer schlimmer wird. Das haben schon die Griechen in der Antike gemacht.

    “Dawn, n.: The time when men of reason go to bed.” — Ambrose Bierce, “The Devil's Dictionary”

  • Was da so bei Firmen „closed source“ so vor sich hin gammelt und trotzdem am Netz hängt, sieht man halt nur nicht öffentlich, aber es ist da.

    Full ACK. Nur ist es bei OpenSource so dass sich jeder dort aus Kostengruenden bedient und wenn dann mal eine viel genutzte SW ein SecurityBug hat hat das entsprechende Auswirkungen. Homegrown SW dagegen hat nur Auswirkungen in der Firma.

    Das mit dem ”schlimmer statt besser werden” klingt ein bisschen nach alten Leuten die über die Jugend schimpfen, die angeblich immer schlimmer wird. Das haben schon die Griechen in der Antike gemacht.

    :lol: Du musst doch aber zugeben dass frueher nicht so viel OpenSource in allen moeglichen Geraeten drinsteckte und somit die Auswirkungen von Securitybugs lokal und nicht global waren.

  • Früher steckte gar keine Software in allen möglichen Geräten. Und auch früher gab es verbreitete Softwarekomponenten mit Fehlern, die dazugekauft oder geklaut waren. Und für Geräte wurde und wird oft der Referenzcode vom Hersteller der verbauten Chips in die eigenen Produkte kopiert. Und/oder gleich die ganze Firmware vom Konkurrenten kopiert. *Das* mag heute sogar besser sein, weil die Gefahr dafür von Anwälten erfolgreich auf die Finger geklopft zu bekommen, vielleicht grösser ist. ?

    “Dawn, n.: The time when men of reason go to bed.” — Ambrose Bierce, “The Devil's Dictionary”

  • Früher steckte gar keine Software in allen möglichen Geräten.

    Die Frage ist was man unter "frueher" versteht.

    Und auch früher gab es verbreitete Softwarekomponenten mit Fehlern, die dazugekauft oder geklaut waren.

    Aber die Anzahl der Geraete war ueberschaubar. In einem VW Kaefer steckte ja noch kein Prozessor drin :) Das ist heutzutage anders. Zumal viele Geraete weltweit vertrieben werden.

    *Das* mag heute sogar besser sein, weil die Gefahr dafür von Anwälten erfolgreich auf die Finger geklopft zu bekommen, vielleicht grösser ist

    Bei OpenSource darf bzw will man auch bewusst dass man die SW nutzt sofern man sich an die Nutzungsbedingungen haelt.

  • Hallo,

    Du musst doch aber zugeben dass frueher nicht so viel OpenSource in allen moeglichen Geraeten drinsteckte und somit die Auswirkungen von Securitybugs lokal und nicht global waren.

    Die Logik erschließt sich mir nicht - also wo ist der Zusammenhang mit OpenSource? Früher war mehr Closed Source Software drin, da konnte halt keiner so richtig Bugs finden. Was ja nicht heißt, dass es besser war.

    Vor vielen Jahren war mal in der c't ein längeren Artikel über Codequalität und Fehler pro 1000 Zeilen Code. Die einzige Software, die bei einem Wert < 1 lag war die, die im Space Shuttle / in der Raumfahrt läuft. Was IMHO wiederrum das bestätigt, was __blackjack__ sagte: kommerzielles und persönliches Interesse ist der Treiber. Wenn in der Raumfahrt was schief geht, ist das halt ultra-teuer und i.d.R. ein PR Desaster. Also macht es für NASA & Co schon Sinn, da mal ein paar mehr Entwickler dran zu setzen. Trifft aus viele anderen Anwendungen halt nicht zu.

    Gruß, noiseflooor

  • Die Logik erschließt sich mir nicht - also wo ist der Zusammenhang mit OpenSource? Früher war mehr Closed Source Software drin, da konnte halt keiner so richtig Bugs finden. Was ja nicht heißt, dass es besser war.

    Ich bestreite ja nicht dass es auch in ClosedSW Bugs gibt. Durch OpenSource (OS) werden sie meist schneller gefunden da der Sourcecode von jedem einsichtbar ist. Die Zahl der weltweiten SW Entwickler ist >>> Anzahl Firmen SW Entwickler und sofern sich jemand in der OS Code einarbeitet und versteht ist die Wahrscheinlichkeit in OS Bugs zu finden natuerlich groesser.

    Mein Punkt ist nur dass durch den Kostendruck immer mehr Firmen dazu uebergehen OS zu nutzen und sich somit OS immer mehr verbreitet. Wenn dann in OS ein severe Bug gefunden wird hat das wesentlich groessere Auswirkungen als zu der Zeit wo es noch keine OS gab.

  • Diejenigen, die sich andauernd an OpenSource wie in einem Selbstbedienungsladen bedienen, aber nichts zurückgeben, haben solche Probleme einfach verdient.

    Der Entwickler von log4j übernimmt keinerlei Haftung.

    Das ist die Regel bei OpenSource und das ist auch richtig so, sonst würde niemand mehr trauen Software anbieten.

    Die Haftung liegt beim Nutzer, also demjenigen, der die Software verwendet: Google, Facebook, Apple, Twitter, ...

    Wenn diese Unternehmen nun aufgrund der Lücke ein Datenleck haben, haften die Unternehmen dafür.

    Hier in Deutschland bekommen wir kein Recht, aber in den USA könnte eine Sammelklage funktionieren.

    Das ist noch nicht das Ende von log4j, da wird noch einiges hinterherkommen.

    Jetzt nachdem diese Lücke bekannt ist, wird man in anderen Sprachen nach ähnlichen Bugs suchen (hoffentlich).

    Bei Python ist es z.B. bekannt und es wird auch dafür gewarnt keinerlei pickle-Dateien aus fremden Quellen zu parsen.

    Beispiel für einen Exploit:

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!