Große Sicherheitslücke in Java

alois · 16. Dezember 2021 um 12:04

Hallo Forum,

diese Mail bekam ich eben:

"To all registered Moodle Administrators,
Log4j information

There have been some questions raised this week about the impact of the recent Log4j vulnerability (sometimes referred to as Log4Shell) on the Moodle LMS. To confirm, the core Moodle LMS does not use or require Log4j (or Java), so is unaffected by the vulnerability. However, it is important to note that system administrators should verify whether any third party content (plugins, themes, search engines or other software) installed alongside your Moodle instance or otherwise set up on your infrastructure are utilising Log4j and require patching.

Thanks for using Moodle and being part of the Moodle open source community.

Michael Hawkins
Moodle HQ"

und in deutsch:

"An alle registrierten Moodle-Administratoren,
Log4j-Informationen

In dieser Woche wurden einige Fragen zu den Auswirkungen der jüngsten Log4j-Schwachstelle (manchmal auch als Log4Shell bezeichnet) auf das Moodle-LMS gestellt. Zur Bestätigung sei gesagt, dass das Moodle LMS Log4j (oder Java) weder verwendet noch benötigt und daher nicht von der Sicherheitslücke betroffen ist. Systemadministratoren sollten jedoch überprüfen, ob Inhalte von Drittanbietern (Plugins, Themen, Suchmaschinen oder andere Software), die neben Ihrer Moodle-Instanz installiert sind oder anderweitig auf Ihrer Infrastruktur eingerichtet wurden, Log4j verwenden und gepatcht werden müssen.

Vielen Dank, dass Sie Moodle nutzen und Teil der Moodle Open Source Community sind.

Michael Hawkins
Moodle-Hauptverwaltung

Übersetzt mit www.DeepL.com/Translator (kostenlose Version)"

Gruß

Alois

Tobias · 16. Dezember 2021 um 22:22

FYI:

fun fact: Jitsi verwendet (durch eine Abhängigkeit) eine uralte version von log4j, dann hat es zwei verschiedene Versionen von Teilen von log4j installiert, so dass am Ende vielleicht gar nichts davon getan hat… zumindest so weit die Analyse in einem github-issue
log4j vulnerability CVE-2021-44228. · Issue #1773 · jitsi/jitsi-videobridge · GitHub
matrix ist im Prinzip (grundinstallation, keine großartigen Brücken Signal) nicht betroffen,
matrix-docker-ansible-deploy/CHANGELOG.md at master · spantaleev/matrix-docker-ansible-deploy · GitHub
etherpad ist nicht betroffen, weil es eine Javascript-implementierung so ähnlich wie log4j benutzt Is log4js-node affected by the log4s vulnerability? · Issue #1105 · log4js-node/log4js-node · GitHub

whocares · 17. Dezember 2021 um 17:55

Weil BigBlueButton ja auch nicht davon betroffen ist.
Ich habe mir hier extra einen entsprechenden Account anlegen müssen, nur um diesem Bullsh*t zu widersprechen.

Leute, wenn Ihr keine Ahnung davon habt, wie das funktioniert, dann setzt bitte auch nicht halbgare Wahrheiten in die Welt.

Offizielles Statement:
https://groups.google.com/g/bigbluebutton-dev/c/hXrvzYPk7JU/m/mj8O5E7rCgAJ

Und ja, ich habe SELBST nachgesehen.

alois · 17. Dezember 2021 um 18:31

@whocares ,

nur dass Du Dich nicht darüber wunderst, dass Dein Beitrag nicht mehr sichtbar ist. Ich habe auf „Beitrag melden“ geklickt, weil ich Deinen Ton unangemessen finde (wir diskutieren hier üblicherweise sachlich). Ob Dein Beitrag wieder sichtbar wird wird später im Team entschieden. Ich bin dafür, dass wir solche Töne wie Deine hier nicht zulassen. Es hätte gereicht zu schreiben dass Du hinsichtlich der log4j-Betroffenheit von Moodle anderer Auffassung bist als hier geäußert. Dazu hättest Du gern Deinen Link hinterlassen können.

Du schriebst: „Ich habe mir hier extra einen entsprechenden Account anlegen müssen, …“

Die „…“ stehen für den Text den ich für unangemessen halte!

Hier wird niemand gezwungen einen Account anzulegen. Das hast Du freiwillig gemacht!

MfG Alois

whocares · 17. Dezember 2021 um 19:46

@alois: ist mir schnurz. Fakt ist, Ihr seid hier eine sehr nette Trümmer-Truppe die lustig total falsche Aussagen im Internet zuläßt, ungeprüft und ungefiltert.
Und seitens BBB kriegen wir es dann wieder mit Issues und Kundentickets reingedrückt, weil ein User „garblixa“ seine geistigen Ergüsse ungefiltert und unmoderiert posten darf.

Von daher: es ist mir total egal ob das gelöscht wird oder nicht.
Es ist EURE Reputation, und ich werde mit Sicherheit KEINEM mehr Linuxmuster empfehlen, da man hier wissentlich Kommentare zuläßt die nicht der Wahrheit entsprechen.
Sowas will ich dann auch keiner Schule mehr zumuten.

Und ja, ich habe mich selbst gemeldet, damit Du das wenigstens mitbekommst und VIELLEICHT auch mal auf die Idee kommst, die anderen, NACHWEISLICH FALSCHEN Beiträge vielleicht auch moderierst / löscht.

Danke

jochen · 17. Dezember 2021 um 20:08

Hallo whocares (einen echten Namen scheinst Du nicht zu haben),

„Dies ist der erste Beitrag von whocares – lasst uns das neue Mitglied in unserer Community willkommen heißen!“

Normalerweise machen wir genau das. In Deinem Fall fällt das etwas schwer, da Du Dich, sagen wir mal wie die Axt im Walde verhältst und ausdrückst.

Irren ist menschlich und dass bei dem für uns alle neuen Thema log4shell gewisse Unsicherheiten da sind, die vielleicht voreilig veröffentlicht und dann weitergetragen werden, kann passieren. Siehe dazu auch die Meldungen von sehr viel offizielleren Seiten, mit 2.15 sei alles in Butter.

Daher hätten wir uns einfach gewünscht, dass Du ganz sachlich auf evtl. Fehler aufmerksam machst und hier nicht gleich so rumpolterst.
Ob Dir das der Aufwand wert ist, hier extra einen Account erstellen zu müssen, das musst Du natürlich für Dich entscheiden. Da Du aber auch aus der Open Source Ecke zu kommen scheinst, wäre das schön gewesen, Oder ist das der normale Umgangston bei BBB?

Viele Grüße,
Jochen

alois · 17. Dezember 2021 um 20:52

Hallo Jochen,

ich habe da eine Ahnung!

Gruß

Alois

baumhof · 17. Dezember 2021 um 22:00

Hallo whocares,

ja, in unserem Forum stehen manchmal falsche Sachen: irren ist Menschlich: passiert… da ist gar kein böser Wille dahinter (ich hab zumindest bisher noch keinen entdecken können … könnte aber an mir liegen ).
Und gerade bei der log4j Geschichte ist das Geschehen doch sehr Dynamisch.
Das BBB nicht betroffen ist steht auch hier im Forum: da hättest du nur ein wenig länger rumschauen müssen.

Jetzt scheinst du bei BBB sehr involviert zu sein. Das lese ich aus der Emotionalität deines Beitrags.
Alois hat schon recht wenn er sagt, dass wir hier im Forum so nicht miteinander reden.
Wenn du also ein paar Gänge runter schalten könntest, dann können wir uns gerne darüber unterhalten.

Viele Grüße

Holger

MachtDochNix · 18. Dezember 2021 um 10:32

Sehr geehrter Herr „Wen interessiert das schon“,
(Formerly Known As Lonesome_walker)

danke für den Versuch ihren Standpunkt bezüglich der Angreifbarkeit von BigBlueButton-Server durch die log4j-Sicherheitslücke allen in unserer Community zur Kenntnis zu bringen.

Leider entspricht ihre Art und Weise wie sie dieses tun, nicht unseren Gepflogenheiten. Wir stehen ein für eine freie und unvoreingenommene Kommunikation im Internet. Jeder kann und soll seine Meinung in unserem Kreis frei kundtun, wie jedes neues Mitglied haben auch Sie ja davon Gebrauch gemacht. Ihren Einwand zu einem Beitrag eines unserer Community-Mitglieder den Sie als unqualifiziert abtun, wurde widersprochen:

Auch ihren Einwand haben Sie ja posten können.

Zwar haben Sie in ihrem Post einen Link in eine google-Gruppe gepostet, in der sich ausführlich über die log4j-Sicherheitslücke im Zusammenhang mit BigBlueButton auseinandergesetzt wird. Dessen Umfang sich aber nicht gerade jedem/jeder schnell erschließt.

Wie Mensch so etwas professioneller, schneller und besser ermöglicht wird in den Post von Alois vorgeführt, deutliche klare Worte aus dem Umfeld von Moodle. Die unser Community-Mitglied dann auch aus dem Englischen übersetzen ließ, um nicht so versierten Englischsprachlern einen schnellen Zugang zu dessen Inhalt zu ermöglichen. Dieses Zutun unsererseits wird sicherlich einem Reindrücken von Issues und Kundentickets im Umfeld von Moodle entgegenwirken.

Wie Sie schrieben haben Sie es ja selber überprüft, dass diese Sicherheitslücke BigBlueButton-Installationen, die sich im „Auslieferungszustand!“ befinden, nicht betrifft. Für diese Klarstellung bedanken wir uns recht herzlich bei Ihnen.
Sicherlich würde ein Statement auf der Startseite von BigBlueButton.org bei der aktuellen Lage um log4j einen viel größeren Nutzerkreis erreichen, als dies unser Forum hier bietet.

Welche Lösung Sie anderen Schulen empfehlen, bleibt Ihnen selbstredend überlassen. Bei uns bleibt dann die leise Hoffnung, dass es sich zumindest um FOSS-Lösungen handelt

Vorstand linuxmuster.net e.V.

Jesko Anschütz,
Holger Baumhof,
Manfred Fleschhut und
Thorsten Koslowski

irrlicht · 19. Dezember 2021 um 07:09

Morgen alle,
Ich hab ja manchmal auch einen ruppigen Ton an mir und bin dahingehend auch wenig empfindlich, aber was will denn der Kasper da oben? Muss man ihm erklaeren wozu es Foren gibt und wie darin Diskussionen ablaufen?

Er scheint ja auch grosse Angst vor „Kundentickets“ zu haben, phobisch quasi…hahaha…

Cgsman · 19. Dezember 2021 um 10:15

Ja,
aber super, wie Ihr auf den Troll oben reagiert habt - nämlich mit entwaffnender Höflichkeit und sachlicher, nüchterner Argumentation, die auf eine schöne Seite unseres Forums zeigt: Dass es immer zuerst um das Positive, die Lösung eines Problems - letztendlich um den Menschen (sorry, hab das Gendern vergessen…) geht - bei aller notwendigen und manchmal auch „engagierten“ Fachdiskussion…Chapeau, dass Ihr nicht in die emotionale Falle dieses BBB-Experten gelaufen seid…(„Who Cares?“ → "WE care about a lot !).

Gruß
Christoph