Video-Tipp zur Log4Shell-Sicherheitslücke

  • Wenn schon die Tagesschau über diese Sicherheitslücke berichtet, dann ist es vielleicht gar nicht so verkehrt, etwas mehr darüber zu erfahren.

    Wie die "Lücke" praktisch funktioniert, wird hier - wie ich finde - sehr anschaulich ab Minute 9:00 gezeigt.


    Log4Shell / LOG4J Sicherheitslücke Erklärt + Gezeigt 🤯 | HILFE mein Minecraft Server ist GEHACKT 🌚⛏
    Java ☕ + LOG4J 📝 = BOOM 💥 YOUTUBE das ist KEINE "Hacking Anleitung". Ich zeige LOKAL anhand einer Test-Anwendung was einem bei der aktuellen LOG4J Lücke…
    yewtu.be
  • Danke, ich gucke es mir an, aber wenn die Tagesschau darüber berichtet kann ich mir Zeit lassen weil dann das Gegenteil wahr ist :D

    Ich habs geguckt. Ich finde es sehr bedenklich das Github Sachen löscht. Ansonsten gilt hier natürlich wie immer: alles was vom Client kommt ist bösartig. Deshalb akzeptieren viele Applikationen nur ausgesuchte Sonderzeichen bei der Eingabe von Usernamen/Passwörtern/egalwas. Bei professionellen Java-Anwendungen kommuniziert der Client auch gar nicht mit der eigentlichen Anwendung sondern nur mit einer E/A Schicht. Firewall dann extra auch noch, nur das zulassen was die Anwendung braucht und kein Port/URL mehr.

    PC: AMD Ryzen 7 5700X | AMD RX6600 | 32GB RAM | Debian 12 Xfce
    Notebook: AMD Ryzen 5 5300U | Vega Graphic | 16GB RAM | Debian 12 Xfce

  • Oha. Wirklich anschaulich erklärt. Aber warum interpretiert der Logger? Der hat zu loggen und nicht zu interpretieren und auszuführen....

    Schinder und Knarren, statt Kinder und Narren...

    Alles ist so unsagbar schnell geworden.
    (EROC, Let's Gläntz)

    Vertrauen muss verdient werden. Man verschenkt es nicht.

    Ich stelle keine dummen Fragen. Du musst Dich mit Deinen Antworten schon ein bisschen anstrengen.

  • Danke, ich gucke es mir an, aber wenn die Tagesschau darüber berichtet kann ich mir Zeit lassen weil dann das Gegenteil wahr ist :D

    Ich habs geguckt. Ich finde es sehr bedenklich das Github Sachen löscht. Ansonsten gilt hier natürlich wie immer: alles was vom Client kommt ist bösartig. Deshalb akzeptieren viele Applikationen nur ausgesuchte Sonderzeichen bei der Eingabe von Usernamen/Passwörtern/egalwas. Bei professionellen Java-Anwendungen kommuniziert der Client auch gar nicht mit der eigentlichen Anwendung sondern nur mit einer E/A Schicht. Firewall dann extra auch noch, nur das zulassen was die Anwendung braucht und kein Port/URL mehr.

    Auf vielen Minecraft-Servern reicht es aktuell, eine gewisse Zeichenkette im Spiel einzugeben und schon hast du die Kontrolle über diesen Server.

    💾 AMD EPYC 7452 (8 Cores) 40GB | 💾 Unraid Homeserver i5-4570 16GB

    💻 Ryzen 9 7900X RX7800XT 32GB | 💻 MacBook Pro M2Pro 32GB

    EndeavourOS <3

  • Auf vielen Minecraft-Servern reicht es aktuell, eine gewisse Zeichenkette im Spiel einzugeben und schon hast du die Kontrolle über diesen Server.

    Das ist ja unglaublich. Wäre interessant zu wissen "wie weit" jemand da kommt wenn so ein Minecraft Server, wie bei mir, als Docker Instanz läuft. Sollte innerjalb von Docker ja eigentlich "abgeschirmt" sein.

    PC: AMD Ryzen 7 5700X | AMD RX6600 | 32GB RAM | Debian 12 Xfce
    Notebook: AMD Ryzen 5 5300U | Vega Graphic | 16GB RAM | Debian 12 Xfce

  • Vielleicht hilft es.

    For Log4J versions 2.10 and newer, the lookup functionality can be disabled three ways:

    By setting the “log4j2.formatMsgNoLookups” property to “true” in the configuration file.

    By setting the environment variable LOG4J_FORMAT_MSG_NO_LOOKUPS to true at the process level.

    By setting the "-Dlog4j2.formatMsgNoLookups=true" in the JVM command line.

    PC: AMD Ryzen 7 5700X | AMD RX6600 | 32GB RAM | Debian 12 Xfce
    Notebook: AMD Ryzen 5 5300U | Vega Graphic | 16GB RAM | Debian 12 Xfce

  • Aber warum interpretiert der Logger? Der hat zu loggen und nicht zu interpretieren und auszuführen....

    Ich zitiere mal aus einem Golem-Artikel.

    Der eigentliche Sinn des Lookups ist es, Daten abzufragen, um im Logfile für eine bessere Lesbarkeit zu sorgen. Zum Beispiel kann so bei einem LDAP-Server angefragt werden, wie der Klarname zu dem Usernamen lautet, der gerade einen Login versucht hat.

  • Wie könnte man den Firewallregeln für einen Minecraftserver beschreiben die Netzwerk nur zu den Usern und Mojang zulassen? Ob das überhaupt geht?

    Ich weiß von der Arbeit aus größeren Projekten das immer mit Firewalls gearbeitet wird um genau so etwas was hier passiert ist auszuschließen.

    PC: AMD Ryzen 7 5700X | AMD RX6600 | 32GB RAM | Debian 12 Xfce
    Notebook: AMD Ryzen 5 5300U | Vega Graphic | 16GB RAM | Debian 12 Xfce

  • Wie könnte man den Firewallregeln für einen Minecraftserver beschreiben die Netzwerk nur zu den Usern und Mojang zulassen? Ob das überhaupt geht?

    Ist Firewall nicht ein Begriff aus der Windows-Welt? Das sind doch real NAT und Portsperren, wenn ich nicht irre.

    Man kann doch eingehende Standard-Ports in einen Sumpf leiten, der verzögert und mit krummen Fehlermeldungen antwortet und die tatsächlich genutzten umleiten und Anfragen durch einen Filter laufen lassen oder verschlüsseln.

    Schinder und Knarren, statt Kinder und Narren...

    Alles ist so unsagbar schnell geworden.
    (EROC, Let's Gläntz)

    Vertrauen muss verdient werden. Man verschenkt es nicht.

    Ich stelle keine dummen Fragen. Du musst Dich mit Deinen Antworten schon ein bisschen anstrengen.

  • Ist Firewall nicht ein Begriff aus der Windows-Welt?

    Glaub ich nicht. Zumindest im Business Umfeld wird von Firewall gesprochen. Im privaten Umfeld wird eher NAT und nie eine Firewall benutzt. Im Business Umfeld eher eine Whitelist basierende Firewall. Was ja auch Sinn macht.

    PC: AMD Ryzen 7 5700X | AMD RX6600 | 32GB RAM | Debian 12 Xfce
    Notebook: AMD Ryzen 5 5300U | Vega Graphic | 16GB RAM | Debian 12 Xfce

  • Wie könnte man den Firewallregeln für einen Minecraftserver beschreiben die Netzwerk nur zu den Usern und Mojang zulassen? Ob das überhaupt geht?

    Ich weiß von der Arbeit aus größeren Projekten das immer mit Firewalls gearbeitet wird um genau so etwas was hier passiert ist auszuschließen.

    Du kannst eine Firewallregel für das Netzsegment erstellen wo ausgehende Verbindungen geblockt werden. So kann dann die LOG4J Schnittstelle keine Verbindung zum Fremdserver aufnehmen um den Befehl abzusetzen Schadcode zu empfangen. Standardmäßig sind FW's so eingestellt das sie "nur" eingehende Verbindungen blockieren aber alle ausgehenden Zulassen.

  • Zumindest im Business Umfeld wird von Firewall gesprochen.

    Naja, die Business-Kasper benutzen gerne Buzzwords oder reagieren auf Trallalla 2.0, 3.0, 4.0.... und den ganzen Blödsinn. Und Microsoft war schon immer sehr kreativ in der Schöpfung von Beschreibungen für Dinge, die unter UNIX schon jahrzehntelang Standard sind.

    Ist nur meine Meinung, bitte keinen Zank deswegen. Im Zweifelsfall nehme ich alles zurück und behaupte das Gegenteil. ;)

    Schinder und Knarren, statt Kinder und Narren...

    Alles ist so unsagbar schnell geworden.
    (EROC, Let's Gläntz)

    Vertrauen muss verdient werden. Man verschenkt es nicht.

    Ich stelle keine dummen Fragen. Du musst Dich mit Deinen Antworten schon ein bisschen anstrengen.

  • Du kannst eine Firewallregel für das Netzsegment erstellen wo ausgehende Verbindungen geblockt werden. So kann dann die LOG4J Schnittstelle keine Verbindung zum Fremdserver aufnehmen um den Befehl abzusetzen Schadcode zu empfangen. Standardmäßig sind FW's so eingestellt das sie "nur" eingehende Verbindungen blockieren aber alle ausgehenden Zulassen.

    Ja, so allgemein kann ich das auch beschreiben :)

    PC: AMD Ryzen 7 5700X | AMD RX6600 | 32GB RAM | Debian 12 Xfce
    Notebook: AMD Ryzen 5 5300U | Vega Graphic | 16GB RAM | Debian 12 Xfce

  • Naja, die Business-Kasper benutzen gerne Buzzwords oder reagieren auf Trallalla 2.0, 3.0, 4.0.... und den ganzen Blödsinn. Und Microsoft war schon immer sehr kreativ in der Schöpfung von Beschreibungen für Dinge, die unter UNIX schon jahrzehntelang Standard sind.

    Ist nur meine Meinung, bitte keinen Zank deswegen. Im Zweifelsfall nehme ich alles zurück und behaupte das Gegenteil. ;)

    Fast. Standardmäßig ist bei richtigen Business Anwendungen alles gesperrt, rein und raus, alle Ports zu.

    PC: AMD Ryzen 7 5700X | AMD RX6600 | 32GB RAM | Debian 12 Xfce
    Notebook: AMD Ryzen 5 5300U | Vega Graphic | 16GB RAM | Debian 12 Xfce

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!