ioBroker und die log4j Zero Day Lücke

ChristianF

Hallo zusammen,

Viele von Euch werden von der aktuellen log4j 0day Lücke gehört haben. Das BSI hat die Warnstufe jetzt auf rot gesetzt Pressemitteilung hier. Insbesondere wir darauf hingewiesen, dass auch isolierte Systeme ohne Internetzugang gefährdet sind. Damit ist klar, dass auch eine vollständige Anwendung des BSI Grundschutzes (und mal ehrlich, wer hat das schon zu 100% umgesetzt?) nicht vor der Lücke schützt.

Inzwischen schreibt zB Heise dass sie davon ausgehen dass auch Smart Home Systeme angreifbar sein können. Auch die Liste der inzwischen als angreifbar bekannten Anbieter wird immer länger.

Soweit ich richtig gesucht habe, können die betroffenen Komponenten auch in ioBroker bzw Adaptern enthalten sein. Vielleicht weiß jemand dazu Näheres? Vorsicht sollte vermutlich angebracht sein,oder?

Viele Grüße!

fastfoot

@christianf log4j ist eine Bibliothek für die Sprache Java, iobroker ist in Javascript geschrieben, welches nichts mit Java zu tun hat

robudus

Redis wird immer wieder erwähnt. Kann das jemand dementieren oder bestätigen? Redis wird vom und im iobroker verwendet. Außer man ist auf eine andere DB umgestiegen wie mysql etc.... Die Entwickler von Redis haben dazu noch nichts geschrieben.

Thomas Braun

@robudus sagte in ioBroker und die log4j Zero Day Lücke:

Redis wird vom und im iobroker verwendet.

Aber auch nur, wenn man das umstellt. Die Grundinstallation kommt ohne redis daher.

Und die log4j wird auch dann nicht verwendet.

eox

@robudus Laut Redis sind sie "kaum" betroffen. Eher der JavaClient
https://redis.com/security/notice-apache-log4j2-cve-2021-44228/

Homoran

@eox sagte in ioBroker und die log4j Zero Day Lücke:

Eher der JavaClient

@fastfoot sagte in ioBroker und die log4j Zero Day Lücke:

log4j ist eine Bibliothek für die Sprache Java, iobroker ist in Javascript geschrieben, welches nichts mit Java zu tun hat

Pedder007

Danke Euch für die Erhellung

OliverIO

für die Unifi-Fans.
Unfi-Access Points sind ggfs von log4shell&log4j betroffen

https://www.heise.de/news/Sicherheitsluecke-Log4Shell-Internet-in-Flammen-6304730.html

https://community.ui.com/questions/UniFi-Controller-security-concern-zero-day-Log4j-exploit/007103a6-823b-4316-ae76-17942539208c

Feuersturm

@oliverio Es gibt aber auch entsprechende Updates:

• https://community.ui.com/releases/UniFi-Network-Application-6-5-54/d717f241-48bb-4979-8b10-99db36ddabe1
• https://community.ui.com/releases/UniFi-Network-Application-6-5-55/48c64137-4a4a-41f7-b7e4-3bee505ae16e

Thomas Braun

@feuersturm

Du weißt doch...
Never change a running system!

Feuersturm

@thomas-braun Oh nein, jetzt hast du es ausgesprochen und alle werden sich auf deine weisen Worte beziehen es in Stein meißeln und keine Updates mehr machen

OliverIO

@thomas-braun

das gilt nur für features, nicht für security
deswegen am liebsten immer die LTS-Versionen
damit fährt man am besten

Thomas Braun

@oliverio

Nur damit es nicht missverstanden wird:
Ich halte die Binsenweisheit von 'Never change a running system' eh von vorne bis hinten für Bullshit.
Natürlich patcht man seinen Kram durch, wenn es updates gibt. Insbesondere natürlich bei security stuff.

Homoran

@feuersturm sagte in ioBroker und die log4j Zero Day Lücke:

Es gibt aber auch entsprechende Updates:

Danke!
die 6.5.54 war ja schon nach kurzer Zeit verfügbar, die 6.5.55 hab ich gerade drübergebügelt.