Warnstufe Rot

// Einen lieben Gruß an alle, die, wie meine Kollegen und ich, seit Samstag kaum mit einem anderen Thema zu haben.

Die sollten auch gleich eines für die Manager machen. Seit sogar die Tagesschau darüber berichtet hat, drehen einige ziemlich durch. Uns erreichen Anfragen, die würde ein Admin, der verstanden hat, wie diese Lücke funktioniert, nie stellen. Die entschuldigen sich auch gleich, "ich weiß, das ist eine unsinnige Frage, aber uns Management will ...".

Immerhin, heute ging es schon wieder vernünftiger zu. Zumindest bei uns. Ich weiß von einem großen Anbieter von Webservices, dass es dort immer noch so arg zu geht.

Das Problem ist gravierend, überhaupt keine Frage. Man kennt immer noch nicht alle betroffenen Produkte, geschweige denn, dass man wüsste, wie man jeweils an das nötige Update kommt. Umso wichtiger, dass das Management ihren Experten nicht unnötig auf die Nerven geht.

Ganz interessanter Aspekt: Es ist möglich, dass jemand über diese Lücke bereits angegriffen wurde, bevor sie publik wurde. Ein wichtiger Punkt ist also der, nicht nur die Updates rasch einzuspielen oder JDNI stillzulegen, sondern auch die eigenen Systeme zu untersuchen und zu beobachten, ob da nicht schon ein Schadcode schläft. Dazu kommen viele Admins vor lauter Management-Theater gar nicht. Außerdem taucht das im Excel Sheet in der Spalte Kosten auf. Das ist nun ganz und gar nicht gewünscht.

Als Privatanwender denke man an seine IoT, Smartwatches und sonstwas für Spyware im "modernen" Haushalt, für die es u.U. gar keine Updates gibt. Ich würde spätestens jetzt dafür sorgen, dass alle diese Geräte mit unklarem Status nicht in mein Netz kommen.

Sozusagen Friendly Fire, hm?

Die Baustelle habe ich gottlob nicht. Jedoch bei manchem Telefonat in den letzten Tagen zwecks Nachfrage, ob diese oder jene Software von log4shell betroffen ist, hat man es doch bisweilen mit erstaunlich ahnungslosen Gegenüber zu tun, wo die Rädchen erst mit dem Telefonat in Gang zu kommen scheinen.

Ein meiner Einschätzung nach tatsächlich betroffener Hersteller rührt sich nach 6 Tagen immer noch nicht. Dabei geht es um eine Standardapplikation, die recht weit verbreitet sein dürfte.

Der Kommentar 'Es funktioniert wie spezifiziert' auf heise.de lässt tief blicken.

Zitat von Susi to visit

Ganz interessanter Aspekt: Es ist möglich, dass jemand über diese Lücke bereits angegriffen wurde, bevor sie publik wurde.

Ja und zwar anscheinend schon seit 2018, wie man hier und da lesen kann. Es brauchte aber erst einen Verstärker wie 'Minecraft' um das jetzt so unter das Brennglas zu bekommen, dass es richtig wehtut. Vermutlich aber immer noch nicht genug ...

Inzwischen gibt's die 'log4j 2.16' nachgelegt. Da können die Entwickler die Toolchain gleich noch mal ankurbeln und weil alle eigentlich gar nicht so ganz genau wissen, wie viele Dependencies in ihren Produkten (und eingebundenen Fremdmodulen sowie den darin wiederum geladenen Bibliotheken von noch mal ganz woanders) so drin stecken, wird es sowieso noch eine ganze Weile dauern, bis das überall rausiteriert ist.

Kein guter Ausblick.

Gruß

Sehvornix

Zitat von Sehvornix

Sozusagen Friendly Fire, hm?

Ja, so kann man das nennen. Die tun mir wirklich leid. Es kommt bei einigen aus dem eigenen Management, genauer: aus dem Nicht-IT-Management. Die Admins und deren Chefs kommen anscheinend schon klar, soweit es eben geht.

Mal ein Beispiel, leicht abgewandelt, damit hier nichts offengelegt wird:

Samstag: Allen Kunden wird mitgeteilt, dass Produkt x ab Version y nicht von der Lücke betroffen ist, weil Log4j gar nicht benutzt wird. Ältere Versionen (längst nicht mehr supported) waren aber betroffen. Also bitte upgraden, falls noch eine der uralten Versionen im Einsatz ist.

Samstag: Die IT der ersten Kunden antwortet: Danke, alles klar. Wir sind schon seit 2018 auf einer Version > y. Puh, eine Baustelle weniger.

Montag, früh am Morgen: Sorry, ich weiß, ihr habt das schon geschrieben. Aber unser Management möchte nochmals schriftlich bestätigt haben, dass explizit auch die Version y+4 nicht betroffen ist. -> Bestätigung geht raus.

Montag, gegen Abend: Noch eine Rückfrage bitte, für die Dokumentation. In den alten, betroffenen Versionen, welche Version von Log4J kam da zum Einsatz?

Montag, spät am Abend: Das waren abhängig vom jeweiligem Stand der integrierten OpenSource Packages jeweils unterschiedliche Versionen. Es wäre sehr aufwendig, das zu recherchieren, zumal diese Recherche keinerlei Nutzen hat. Wichtig ist: Alle älteren Versionen waren betroffen und sind daher als unsicher zu betrachten. Ein Schutz besteht erst ab Version y.

Dienstag, früh man Morgen: Es tut mir leid, ich verstehe unsere Chefs auch nicht. Unser Management möchte nochmals bestätigt haben, dass alle Versionen vor y ein Log4j kleiner Version 2.15 verwendet haben. (Das ist schon deshalb klar, weil es die Version 2.15 damals noch gar nicht gab.)

Dienstag, noch am Morgen: Bestätigung geht raus.

Mittwoch: Ich muss nochmal nerven. Glaub' mir, es ist mir sehr unangenehm. Es gibt da diese weitere Lücke. Da ihr Log4j gar nicht verwendet, könnt ihr nicht betroffen sein. Wir verstehen das. Unser Management möchte trotzdem eine Aussage von euch.

Mittwoch: Bestätigung geht raus.

Zitat von Sehvornix

Es brauchte aber erst einen Verstärker wie 'Minecraft' um das jetzt so unter das Brennglas zu bekommen, dass es richtig wehtut.

Das mag so wirken. Minecraft ist aber nur ein ganz kleiner Fisch im Teich. Betroffen sind halt auch Rechenzentren, insbesondere solche, die Webservices im weitesten Sinne anbieten. Soweit ich es aus meinem kleinen Fenster heraus beurteilen kann, hat deren technisches Personal sehr schnell und professionell reagiert.

Mal schauen, was noch auf uns zukommt. Ich erwähnte ja schon die vielen Spyware-Geräte, die so manch einer in Verwendung hat.

Zitat von Susi to visit

Ich erwähnte ja schon die vielen Spyware-Geräte, die so manch einer in Verwendung hat.

Sollte es sich herzustellen, dass die vielen IoT-Teile und die ganzen anderen smarten Dinger betroffen sind, dann geht's ab.