NEWS
ioBroker und die log4j Zero Day Lücke
-
Hallo zusammen,
Viele von Euch werden von der aktuellen log4j 0day Lücke gehört haben. Das BSI hat die Warnstufe jetzt auf rot gesetzt Pressemitteilung hier. Insbesondere wir darauf hingewiesen, dass auch isolierte Systeme ohne Internetzugang gefährdet sind. Damit ist klar, dass auch eine vollständige Anwendung des BSI Grundschutzes (und mal ehrlich, wer hat das schon zu 100% umgesetzt?) nicht vor der Lücke schützt.
Inzwischen schreibt zB Heise dass sie davon ausgehen dass auch Smart Home Systeme angreifbar sein können. Auch die Liste der inzwischen als angreifbar bekannten Anbieter wird immer länger.
Soweit ich richtig gesucht habe, können die betroffenen Komponenten auch in ioBroker bzw Adaptern enthalten sein. Vielleicht weiß jemand dazu Näheres? Vorsicht sollte vermutlich angebracht sein,oder?
Viele Grüße!
-
Hallo zusammen,
Viele von Euch werden von der aktuellen log4j 0day Lücke gehört haben. Das BSI hat die Warnstufe jetzt auf rot gesetzt Pressemitteilung hier. Insbesondere wir darauf hingewiesen, dass auch isolierte Systeme ohne Internetzugang gefährdet sind. Damit ist klar, dass auch eine vollständige Anwendung des BSI Grundschutzes (und mal ehrlich, wer hat das schon zu 100% umgesetzt?) nicht vor der Lücke schützt.
Inzwischen schreibt zB Heise dass sie davon ausgehen dass auch Smart Home Systeme angreifbar sein können. Auch die Liste der inzwischen als angreifbar bekannten Anbieter wird immer länger.
Soweit ich richtig gesucht habe, können die betroffenen Komponenten auch in ioBroker bzw Adaptern enthalten sein. Vielleicht weiß jemand dazu Näheres? Vorsicht sollte vermutlich angebracht sein,oder?
Viele Grüße!
@christianf log4j ist eine Bibliothek für die Sprache Java, iobroker ist in Javascript geschrieben, welches nichts mit Java zu tun hat
-
@christianf log4j ist eine Bibliothek für die Sprache Java, iobroker ist in Javascript geschrieben, welches nichts mit Java zu tun hat
Redis wird immer wieder erwähnt. Kann das jemand dementieren oder bestätigen? Redis wird vom und im iobroker verwendet. Außer man ist auf eine andere DB umgestiegen wie mysql etc.... Die Entwickler von Redis haben dazu noch nichts geschrieben.
-
Redis wird immer wieder erwähnt. Kann das jemand dementieren oder bestätigen? Redis wird vom und im iobroker verwendet. Außer man ist auf eine andere DB umgestiegen wie mysql etc.... Die Entwickler von Redis haben dazu noch nichts geschrieben.
@robudus sagte in ioBroker und die log4j Zero Day Lücke:
Redis wird vom und im iobroker verwendet.
Aber auch nur, wenn man das umstellt. Die Grundinstallation kommt ohne redis daher.
Und die log4j wird auch dann nicht verwendet.
-
Redis wird immer wieder erwähnt. Kann das jemand dementieren oder bestätigen? Redis wird vom und im iobroker verwendet. Außer man ist auf eine andere DB umgestiegen wie mysql etc.... Die Entwickler von Redis haben dazu noch nichts geschrieben.
-
@robudus Laut Redis sind sie "kaum" betroffen. Eher der JavaClient
https://redis.com/security/notice-apache-log4j2-cve-2021-44228/@eox sagte in ioBroker und die log4j Zero Day Lücke:
Eher der JavaClient
@fastfoot sagte in ioBroker und die log4j Zero Day Lücke:
log4j ist eine Bibliothek für die Sprache Java, iobroker ist in Javascript geschrieben, welches nichts mit Java zu tun hat
kein Support per PN! - Fragen im Forum stellen - es gibt fast nichts, was nicht auch für andere interessant ist.
Benutzt das Voting rechts unten im Beitrag wenn er euch geholfen hat.
der Installationsfixer: curl -fsL https://iobroker.net/fix.sh | bash -
-
@eox sagte in ioBroker und die log4j Zero Day Lücke:
Eher der JavaClient
@fastfoot sagte in ioBroker und die log4j Zero Day Lücke:
log4j ist eine Bibliothek für die Sprache Java, iobroker ist in Javascript geschrieben, welches nichts mit Java zu tun hat
-
Hallo zusammen,
Viele von Euch werden von der aktuellen log4j 0day Lücke gehört haben. Das BSI hat die Warnstufe jetzt auf rot gesetzt Pressemitteilung hier. Insbesondere wir darauf hingewiesen, dass auch isolierte Systeme ohne Internetzugang gefährdet sind. Damit ist klar, dass auch eine vollständige Anwendung des BSI Grundschutzes (und mal ehrlich, wer hat das schon zu 100% umgesetzt?) nicht vor der Lücke schützt.
Inzwischen schreibt zB Heise dass sie davon ausgehen dass auch Smart Home Systeme angreifbar sein können. Auch die Liste der inzwischen als angreifbar bekannten Anbieter wird immer länger.
Soweit ich richtig gesucht habe, können die betroffenen Komponenten auch in ioBroker bzw Adaptern enthalten sein. Vielleicht weiß jemand dazu Näheres? Vorsicht sollte vermutlich angebracht sein,oder?
Viele Grüße!
für die Unifi-Fans.
Unfi-Access Points sind ggfs von log4shell&log4j betroffenhttps://www.heise.de/news/Sicherheitsluecke-Log4Shell-Internet-in-Flammen-6304730.html
-
für die Unifi-Fans.
Unfi-Access Points sind ggfs von log4shell&log4j betroffenhttps://www.heise.de/news/Sicherheitsluecke-Log4Shell-Internet-in-Flammen-6304730.html
@oliverio Es gibt aber auch entsprechende Updates:
-
Du weißt doch...
Never change a running system!
:-D -
Du weißt doch...
Never change a running system!
:-D@thomas-braun Oh nein, jetzt hast du es ausgesprochen und alle werden sich auf deine weisen Worte beziehen es in Stein meißeln und keine Updates mehr machen :fearful:
-
Du weißt doch...
Never change a running system!
:-Ddas gilt nur für features, nicht für security
deswegen am liebsten immer die LTS-Versionen
damit fährt man am besten -
das gilt nur für features, nicht für security
deswegen am liebsten immer die LTS-Versionen
damit fährt man am bestenNur damit es nicht missverstanden wird:
Ich halte die Binsenweisheit von 'Never change a running system' eh von vorne bis hinten für Bullshit.
Natürlich patcht man seinen Kram durch, wenn es updates gibt. Insbesondere natürlich bei security stuff. -
@feuersturm sagte in ioBroker und die log4j Zero Day Lücke:
Es gibt aber auch entsprechende Updates:
Danke!
die 6.5.54 war ja schon nach kurzer Zeit verfügbar, die 6.5.55 hab ich gerade drübergebügelt.
860
Online32.5k
Users81.6k
Topics1.3m
Posts