Oh man.. Jedesmal diese sinnlose Panik, genauso wie bei den offenen KNX Ports im Netz.

Und warum glauben immer alle, das eine Visu ein "Server" ist?

Ist sie nicht?

Wo steht geschrieben das die Lücke in Log4j nur Server betrifft? Und. Worauf läuft die Visu denn?
prinzipiell kann man erstmal jedes Stück Java kritisch beäugen. Wer hätte denn aug Anhieb vermutet das in Cisco Switches Log4j versteckt ist ?


Ganz so sinnlos ist die Panik bei der Lücke in Log4j nun aber doch nicht. Insbesondere ob der durchaus hohen 'Marktdurchdringung'.

Für den normalo heimanwender vielleicht schon, denn da ist meist nicht viel zu holen in relation. Wird man noch sehen.

Aber ganz so blauäugig würd ich da vielleicht ich ran gehen.

Edit: auf github gibt's eine gute Liste der betroffenen Systeme/Software

​​​​​​​https://github.com/NCSC-NL/log4shell...ware/README.md

Auf welchem SWITCH steckt denn diese Lücke?

Naja, das nutzt ja keiner freiwillig. Ausser Babtec, die haben da einen Narren dran gefressen. Keine Ahnung, wie es um den EIBPORT steht.....

Ja blöd formuliert. Auf dem Switch direkt nicht, aber in so ziemlich jedem Stück Management Software für selbige
Wie man bei cisco z.b. gut nachlesen kann.

https://tools.cisco.com/security/cen...4j-qRuKNEbd#vp


Dafür das es keiner freiwillig nutzt, ist die Liste derer die betroffen sind aber ganz schön lang .

Wie gesagt mag die Gefahr für den 0815 Anwender in Relation gering ausfallen. Aber jeder der sich nen Server angelacht hat sollte vielleicht das eine oder andere Auge mehr darauf werfen. Wer das nicht tun möchte weil er die Lücke für pipifax hält, kann das gerne tun Ist ja eine freie Welt .. überwiegend.

Entschuldige bitte, aber dieser Post zeugt leider von mangelndem Wissen in der Thematik.
In den letzten 20 Jahren der IT habe ich kaum eine Lücke gesehen, die krasser war. Im Moment fällt mir nix extremeres ein.

Die CVSS Einstufung, die eine Skala von 0-10 hat, wobei 10 das Maximum ist, ist für diese Lücke bei 10 !
Das bedeutet u.a., dass die Lücke nicht nur sehr leicht auszunutzen ist, sondern der mögliche Impact auch extrem hoch sein kein.



Ich weiß nicht, wer alle sind. Aber openhab bspw. ist ein Server. Ein Server ist in diesem Zusammenhang jedes Stück Software, dass einen Dienst anbietet, der außerhalb der "Schachtel" in der er läuft, erreichbar ist.

Jede Visu, die bspw. über einen Browser oder eine eigene App erreichbar ist, ist ein Server!
Denn dort läuft mindestens ein Webserver, eine Software, die die Webseite der Visu an den Brwoser sendet.
Wenn dieser Webserver log4j nutzt, steht potentiell die Gefahr im Raum, dass das Gerät verwundbar ist.

Das BSI berichtet, dass die Ausnutzung dieser Schwachstelle derzeit massiv voranschreitet, u.a. durch Krypto-Miner, die auf die betroffenen Systeme installiert werden. Dafür werden auch gerne Heimanwender-PCs genutzt. Aber für andere Dinge auch, bspw. DDOS Angriffe für die Installation von Verschlüsselungssoftware.

Ich glaube, vielen ist gar nicht bewusst, wo sie überall Java nutzen. Direkt oder indirekt. Und damit meine ich nicht nur jedes Android Gerät. Wie viele Kinder spielen Minecraft? Am Freitag waren hundertausende Microsoft-Accounts betroffen von Spielern, die sich bei Minecraft damit anmeldeten. Und schwubs wurden im dunklen Netz diese Accounts mit den dort ggf. hinterlegten Kreditkarteninformationen vertickt.
Oder diese Forums-Software hier, scheint eine auf Lucene basierte Suche zu verwenden, was Java nutzt. Würde mich nicht wundern, wenn dies Solr oder ES ist. Beides potentiell betroffene Produkte.

Die von vophatechnicus verlinkte Liste ist sicher noch nicht abschließend, aber sie zeigt das Ausmaß.

Vor allem wenn man sich anschaut wie dermaßen einfach diese Lücke zu nutzen ist. Das ist so lächerlich einfach, da muss man nicht mal Ahnung von der Materie haben dafür. Ok, dass was man dann "nachladen" will sollte schon gut gemacht sein. Aber die Lücke selbst ist heftig/erschreckend/einfach.

Java nutzt keiner freiwillig? Ernsthaft jetzt?

Naja, wenn man es vermeiden kann macht man nen Bogen drum. Java ist immerhin (auch) nur eine Insel

Meinst du als Entwickler oder als Anwender?

Beides

Deshalb bau ich keinen EibPort ein, hab nur noch ein paar "geerbte" in den Projekten...