Große Sicherheitslücke in Java

Smalltalk
32

Hallo Holger,

und da wird man immer aufgefordert - aus Sicherheitsgründen - möglichst zeitnah upzudaten.

Gruß

Alois

33

Hallo Alois und alle,

wisst Ihr, wie das mit den Belwue-Moodles aussieht? Kann man die einer bestimmten IP oder einem IP-Range zuordnen oder wie sieht das dort aus mit deren Clustern, Loadbalancern etc.?

Danke und viele Grüße,
Jochen

34

Hallo Jochen,

bei Belwue muss ich passen.

Gruß

Alois

35

Hallo,

Da reihen sie sich ein in die lange Liste großer Softwareprojekte/Anbieter, die auch erklären man könne beruhigt sein, schließlich seien nur die Remote-Code-Execution-Lücken aus Version 1.x noch online. :face_with_monocle: :see_no_evil: :hear_no_evil: :speak_no_evil:

Gruß
Buster

36

Hallo,

OnlyOffice ist betroffen wegen elasticsearch, es gibt dafür Hinweise um es zu lösen ( man erhält dafür eine Email ).

Gruß

Arnaud

37

Heise dazu:

Ältere Log4j-Versionen, die noch zum 1.x-Zweig gehören (der nicht länger mit Updates versorgt wird, End of Life) ist zwar offenbar von der aktuellen Lücke nicht betroffen, dafür hingegen für andere Schwachstellen bekannt, sodass GitHub Maintainern in jedem Fall ein zügiges Update auf die neue Version 2.15 empfiehlt.

Aber ob das jemand jucken wird…?

LG,
Jochen

38

Schnell gefixed, Chapeau!

LG,
Jochen

39

Hallo, Jochen,
in der Tat - so, wie es aussieht, vor 5 Tagen, also am Tag selbst, wo die SIcherheitslücke bekannt wurde, wenn ich das richtig sehe !

Gruß Christoph

40

Hallo Christoph,

und heute sofort noch ein Update (Unifi Downloads), seit klar ist, dass 2.15 von log4j nicht ausreicht: Heise

Das nenn’ ich zügig!

LG,
Jochen

41

Hallo Forum,

diese Mail bekam ich eben:

"To all registered Moodle Administrators,
Log4j information

There have been some questions raised this week about the impact of the recent Log4j vulnerability (sometimes referred to as Log4Shell) on the Moodle LMS. To confirm, the core Moodle LMS does not use or require Log4j (or Java), so is unaffected by the vulnerability. However, it is important to note that system administrators should verify whether any third party content (plugins, themes, search engines or other software) installed alongside your Moodle instance or otherwise set up on your infrastructure are utilising Log4j and require patching.

Thanks for using Moodle and being part of the Moodle open source community.

Michael Hawkins
Moodle HQ"

und in deutsch:

"An alle registrierten Moodle-Administratoren,
Log4j-Informationen

In dieser Woche wurden einige Fragen zu den Auswirkungen der jüngsten Log4j-Schwachstelle (manchmal auch als Log4Shell bezeichnet) auf das Moodle-LMS gestellt. Zur Bestätigung sei gesagt, dass das Moodle LMS Log4j (oder Java) weder verwendet noch benötigt und daher nicht von der Sicherheitslücke betroffen ist. Systemadministratoren sollten jedoch überprüfen, ob Inhalte von Drittanbietern (Plugins, Themen, Suchmaschinen oder andere Software), die neben Ihrer Moodle-Instanz installiert sind oder anderweitig auf Ihrer Infrastruktur eingerichtet wurden, Log4j verwenden und gepatcht werden müssen.

Vielen Dank, dass Sie Moodle nutzen und Teil der Moodle Open Source Community sind.

Michael Hawkins
Moodle-Hauptverwaltung

Übersetzt mit www.DeepL.com/Translator (kostenlose Version)"

Gruß

Alois

42

FYI:

43

Weil BigBlueButton ja auch nicht davon betroffen ist.
Ich habe mir hier extra einen entsprechenden Account anlegen müssen, nur um diesem Bullsh*t zu widersprechen.

Leute, wenn Ihr keine Ahnung davon habt, wie das funktioniert, dann setzt bitte auch nicht halbgare Wahrheiten in die Welt.

Offizielles Statement:
https://groups.google.com/g/bigbluebutton-dev/c/hXrvzYPk7JU/m/mj8O5E7rCgAJ

Und ja, ich habe SELBST nachgesehen.

44

@whocares ,

nur dass Du Dich nicht darüber wunderst, dass Dein Beitrag nicht mehr sichtbar ist. Ich habe auf „Beitrag melden“ geklickt, weil ich Deinen Ton unangemessen finde (wir diskutieren hier üblicherweise sachlich). Ob Dein Beitrag wieder sichtbar wird wird später im Team entschieden. Ich bin dafür, dass wir solche Töne wie Deine hier nicht zulassen. Es hätte gereicht zu schreiben dass Du hinsichtlich der log4j-Betroffenheit von Moodle anderer Auffassung bist als hier geäußert. Dazu hättest Du gern Deinen Link hinterlassen können.

Du schriebst: „Ich habe mir hier extra einen entsprechenden Account anlegen müssen, …“

Die „…“ stehen für den Text den ich für unangemessen halte!

Hier wird niemand gezwungen einen Account anzulegen. Das hast Du freiwillig gemacht!

MfG Alois

1 „Gefällt mir“
45

@alois: ist mir schnurz. Fakt ist, Ihr seid hier eine sehr nette Trümmer-Truppe die lustig total falsche Aussagen im Internet zuläßt, ungeprüft und ungefiltert.
Und seitens BBB kriegen wir es dann wieder mit Issues und Kundentickets reingedrückt, weil ein User „garblixa“ seine geistigen Ergüsse ungefiltert und unmoderiert posten darf.

Von daher: es ist mir total egal ob das gelöscht wird oder nicht.
Es ist EURE Reputation, und ich werde mit Sicherheit KEINEM mehr Linuxmuster empfehlen, da man hier wissentlich Kommentare zuläßt die nicht der Wahrheit entsprechen.
Sowas will ich dann auch keiner Schule mehr zumuten.

Und ja, ich habe mich selbst gemeldet, damit Du das wenigstens mitbekommst und VIELLEICHT auch mal auf die Idee kommst, die anderen, NACHWEISLICH FALSCHEN Beiträge vielleicht auch moderierst / löscht.

Danke

46

Hallo whocares (einen echten Namen scheinst Du nicht zu haben),

„Dies ist der erste Beitrag von whocares – lasst uns das neue Mitglied in unserer Community willkommen heißen!“

Normalerweise machen wir genau das. In Deinem Fall fällt das etwas schwer, da Du Dich, sagen wir mal wie die Axt im Walde verhältst und ausdrückst.

Irren ist menschlich und dass bei dem für uns alle neuen Thema log4shell gewisse Unsicherheiten da sind, die vielleicht voreilig veröffentlicht und dann weitergetragen werden, kann passieren. Siehe dazu auch die Meldungen von sehr viel offizielleren Seiten, mit 2.15 sei alles in Butter.

Daher hätten wir uns einfach gewünscht, dass Du ganz sachlich auf evtl. Fehler aufmerksam machst und hier nicht gleich so rumpolterst.
Ob Dir das der Aufwand wert ist, hier extra einen Account erstellen zu müssen, das musst Du natürlich für Dich entscheiden. Da Du aber auch aus der Open Source Ecke zu kommen scheinst, wäre das schön gewesen, Oder ist das der normale Umgangston bei BBB?

Viele Grüße,
Jochen

47

Hallo Jochen,

ich habe da eine Ahnung!

Gruß

Alois

48

Hallo whocares,

ja, in unserem Forum stehen manchmal falsche Sachen: irren ist Menschlich: passiert… da ist gar kein böser Wille dahinter (ich hab zumindest bisher noch keinen entdecken können … könnte aber an mir liegen :slight_smile: ).
Und gerade bei der log4j Geschichte ist das Geschehen doch sehr Dynamisch.
Das BBB nicht betroffen ist steht auch hier im Forum: da hättest du nur ein wenig länger rumschauen müssen.

Jetzt scheinst du bei BBB sehr involviert zu sein. Das lese ich aus der Emotionalität deines Beitrags.
Alois hat schon recht wenn er sagt, dass wir hier im Forum so nicht miteinander reden.
Wenn du also ein paar Gänge runter schalten könntest, dann können wir uns gerne darüber unterhalten.

Viele Grüße

Holger

49

Sehr geehrter Herr „Wen interessiert das schon“,
(Formerly Known As Lonesome_walker)

danke für den Versuch ihren Standpunkt bezüglich der Angreifbarkeit von BigBlueButton-Server durch die log4j-Sicherheitslücke allen in unserer Community zur Kenntnis zu bringen.

Leider entspricht ihre Art und Weise wie sie dieses tun, nicht unseren Gepflogenheiten. Wir stehen ein für eine freie und unvoreingenommene Kommunikation im Internet. Jeder kann und soll seine Meinung in unserem Kreis frei kundtun, wie jedes neues Mitglied haben auch Sie ja davon Gebrauch gemacht. Ihren Einwand zu einem Beitrag eines unserer Community-Mitglieder den Sie als unqualifiziert abtun, wurde widersprochen:

Auch ihren Einwand haben Sie ja posten können.

Zwar haben Sie in ihrem Post einen Link in eine google-Gruppe gepostet, in der sich ausführlich über die log4j-Sicherheitslücke im Zusammenhang mit BigBlueButton auseinandergesetzt wird. Dessen Umfang sich aber nicht gerade jedem/jeder schnell erschließt.

Wie Mensch so etwas professioneller, schneller und besser ermöglicht wird in den Post von Alois vorgeführt, deutliche klare Worte aus dem Umfeld von Moodle. Die unser Community-Mitglied dann auch aus dem Englischen übersetzen ließ, um nicht so versierten Englischsprachlern einen schnellen Zugang zu dessen Inhalt zu ermöglichen. Dieses Zutun unsererseits wird sicherlich einem Reindrücken von Issues und Kundentickets im Umfeld von Moodle entgegenwirken.

Wie Sie schrieben haben Sie es ja selber überprüft, dass diese Sicherheitslücke BigBlueButton-Installationen, die sich im „Auslieferungszustand!“ befinden, nicht betrifft. Für diese Klarstellung bedanken wir uns recht herzlich bei Ihnen.
Sicherlich würde ein Statement auf der Startseite von BigBlueButton.org bei der aktuellen Lage um log4j einen viel größeren Nutzerkreis erreichen, als dies unser Forum hier bietet.

Welche Lösung Sie anderen Schulen empfehlen, bleibt Ihnen selbstredend überlassen. Bei uns bleibt dann die leise Hoffnung, dass es sich zumindest um FOSS-Lösungen handelt :slight_smile:

Vorstand linuxmuster.net e.V.

Jesko Anschütz,
Holger Baumhof,
Manfred Fleschhut und
Thorsten Koslowski

4 „Gefällt mir“
50

Morgen alle,
Ich hab ja manchmal auch einen ruppigen Ton an mir und bin dahingehend auch wenig empfindlich, aber was will denn der Kasper da oben? Muss man ihm erklaeren wozu es Foren gibt und wie darin Diskussionen ablaufen?

Er scheint ja auch grosse Angst vor „Kundentickets“ zu haben, phobisch quasi…hahaha…

1 „Gefällt mir“
51

Ja,
aber super, wie Ihr auf den Troll oben reagiert habt - nämlich mit entwaffnender Höflichkeit und sachlicher, nüchterner Argumentation, die auf eine schöne Seite unseres Forums zeigt: Dass es immer zuerst um das Positive, die Lösung eines Problems - letztendlich um den Menschen (sorry, hab das Gendern vergessen…) geht - bei aller notwendigen und manchmal auch „engagierten“ Fachdiskussion…Chapeau, dass Ihr nicht in die emotionale Falle dieses BBB-Experten gelaufen seid…(„Who Cares?“ → "WE care about a lot !).

Gruß
Christoph

3 „Gefällt mir“