IT-News

schmidtyy · 16.12.2021

Member hat gesagt:
vom aktuellen Log4J mal zu schweigen

Ich verstehe nach wie vor nicht, warum man einen Logger mit anderen Diensten verbinden muss.

fundi wa kuma · 17.12.2021

Log4j wurde in der Schweiz entwickelt: Der Erfinder erzählt

Die Entstehungsgeschichte der Open-Source-Software, die jetzt wegen einer Schwachstelle die ganze IT-Welt auf Trab hält, nahm ihren Anfang in Zürich.

www.nzz.ch

riva · 17.12.2021

Wer auf der Suche nach untervögelten Damen ist, könnte sich die Daten der Kundinnen besorgen.

Kundeninformation

www.amorelie.de

Ob die Kunden das auch alle so sehen, dass sie sich keine Sorgen machen müssten....?

much · 17.12.2021

Member hat gesagt:
Wer auf der Suche nach untervögelten Damen ist, könnte sich die Daten der Kundinnen besorgen.

Kundeninformation
www.amorelie.de

Ob die Kunden das auch alle so sehen, dass sie sich keine Sorgen machen müssten....?

"Diese Schwachstelle konnten wir wenige Minuten, nachdem wir Kenntnis davon hatten, schließen"
Das kann ich mir irgendwie nicht so recht vorstellen.

Die Depinnensprache mit Stern wird aber perfekt beherrscht.

riva · 17.12.2021

Member hat gesagt:
"Diese Schwachstelle konnten wir wenige Minuten, nachdem wir Kenntnis davon hatten, schließen"
Das kann ich mir irgendwie nicht so recht vorstellen.

Ich weiß jetzt nicht wie deren IT organisiert ist und welche Schwachstelle es war, aber viele Schwachstellen können innerhalb sehr kurzer Zeit durch Einspielen entsprechender Patches behoben werden.

Die Kommunikation sieht soweit ja ganz ordentlich auch. "Derzeit besteht für Dich kein Anlass zur Sorge, bislang gibt es keinerlei Anhaltspunkte für einen möglichen Datenmissbrauch." Solche Aussagen sind aber meist wenig fundiert und sollen Vertrauen wecken. Ob wirklich eine forensische Untersuchung durchgeführt wurde die das belegen kann, halte ich für unwahrscheinlich. Angreifer verhalten sich meist total unauffällig um ihr Werk möglichst ungestört verrichten zu können. Möglicherweise lauert irgendwo unerkannter Schadcode und der weitere Ransomware Angriff wird über irgendwelche Feiertage ausgerollt. Weihnachten wird da so einiges erwartet, auch bezüglich Log4J. Wurde die Schwachstelle ausgenutzt um Daten abzugreifen, die ja durchaus bei so einem Shop wertvoll sein könnten, tauchen diese vielleicht demnächst mal im Darknet auf.

Mal schauen. Aber Amorelie ist ja nur ein mögliches Opfer von ganz ganz vielen. Ich habs nur mal erwähnt, weil es einen gewissen Bezug zu unserem Hobby hat.

riva · 17.12.2021

Member hat gesagt:
Ich verstehe nach wie vor nicht, warum man einen Logger mit anderen Diensten verbinden muss.

Du meinst, warum man ihn so nutzt? Man kann Log4J ja auch einbinden, sodass der Einsatz unproblematisch ist und ein Update auf 2.16 überflüssig ist.

YamNua · 17.12.2021

Das unangenehme ist ja das man es nicht unbedingt „bewusst“ mit installiert…. Bei uns war es Teil des elasticsearch Paketes … also der Suchfunktion des Forums…. Man muss wirklich gezielt nach den entsprechenden Bibliotheken suchen

TAWon · 18.12.2021

Member hat gesagt:
"..., bislang gibt es keinerlei Anhaltspunkte für einen möglichen Datenmissbrauch."

Ich bestehe darauf, dass es Datenmiss- und -misterbrauch heißen muss. Sonst fühle ich mich als Mann diskriminiert.

nispuk2000 · 31.12.2021

Log4J ist recht blöd. Wenn man den Service selber implementiert hat ist dieses Problem relativ schnell behoben. Wird hingegen eine Infrastruktur mit mehreren Services On-Premise bzw. in der Cloud betrieben sucht man die Nadel im Heuhaufen. Ist eine betroffener Service identifiziert muss der Lieferant zuerst ein Update zur Verfügung stellen. Wir benötigten ca. eine Woche bis alles behoben wurde.

YamNua · 08.02.2022

Was für eine Verschwendung von Ressourcen

Rekord: Abermillionen Grafikkarten schürfen die Kryptowährung Ethereum