Log4j Sicherheitslücke [IP-Symcon nicht betroffen]

Coyote · 11. Dezember 2021 um 22:35

Hi,

Keine Ahnung. Ist IPs ggf. von den Log4s Problem betroffen?

paresy · 11. Dezember 2021 um 22:37

Nein, IP-Syncon ist nicht betroffen. IP-Symcon ist komplett in C++ geschrieben und nutzt Log4j (Java) somit gar nicht. Auch der Connect-Dienst und unsere anderen Backend-Dienste nutzen kein Log4J. Somit sind alle unsere Dienste nicht von der Lücke betroffen.

paresy

Boui · 12. Dezember 2021 um 11:07

Wow, was ne Quelle. Ich hab erst mal geschaut, ob der Artikel nicht noch von Claas Relotius stammt.

Aber heise Security berichtet auch.

Coyote · 12. Dezember 2021 um 11:10

Die Spiegel-Quelle ging halt auf die schnelle. Bei meinem Arbeitgeber intern klingt das etwas anders….

loerdy · 12. Dezember 2021 um 13:30

Für alle Unifi Jünger, die Controller Software ist betroffen, ein Update steht bereit.

Loerdy

paresy · 12. Dezember 2021 um 13:52

Wenn ich das richtig verstehe ist die Lücke nur kritisch wenn man den UniFi Controller nach außen offen hat, oder? (Oder Angreifer über das Gäste WLAN hat)

paresy

loerdy · 12. Dezember 2021 um 14:10

Das liest sich auf Heise für mich anders. Im Changelog ist auch nur diese Änderung aufgeführt. Ich denke, Ubiquiti sieht das auch kritisch. Ich hab meinen Controller aktualisiert, war in 5 Minuten erledigt.

Loerdy

ralf · 12. Dezember 2021 um 15:26

Zu Ubiquiti ist die Aussage deutlich, deshalb Updaten. So ist das halt, nicht nur kaufen und nutzen, sondern auch „betreiben“, also pflegen.

Warnstufe Rot: Log4j-Zero-Day-Lücke bedroht Heimanwender und Firmen | heise online

Marco · 13. Dezember 2021 um 06:59

Hallo,

ist IP-Symcon von der aktuellen Lücke bei „Log4J“ ebenfalls betroffen?
Link: Kritische Schwachstelle in log4j veröffentlicht (CVE-2021-44228) (bund.de)

Gibt es schon Infos wann / ob ein Update verfügbar sein wird bzw. wie man bisdahin ggf. Gegenmaßnahmen vornehmen kann?

Nall-chan · 13. Dezember 2021 um 07:47

Gibt kein Java im IPS
Habe deinem Beitrag hier Mal angehängt.
Michael

ralf · 13. Dezember 2021 um 12:21

Da scheint doch der ein oder andere Service vorsichtig zu reagieren oder tatsächlich ein Problem zu haben.

Aktuell Meldung im WISO Mein Geld
grafik

Der Link geht zur offiziellen BSI Seite zu diesem Problem.

ralf · 13. Dezember 2021 um 16:14

Und als Ergänzung aus dem neusten Heise Artikel

Die unvollständige Liste möglicherweise betroffener Systeme

gist.github.com

https://gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592

20211210-TLP-WHITE_LOG4J.md

Security Advisories / Bulletins linked to Log4Shell (CVE-2021-44228)

## Errors, typos, something to say ?
  - If you want to add a link, comment or send it to me
  - Feel free to report any mistake directly below in the comment or in DM on Twitter [@SwitHak](https://twitter.com/SwitHak)

# Other great ressources
- Royce Williams list is different, listed by vendors responses:
- https://www.techsolvency.com/story-so-far/cve-2021-44228-log4j-log4shell/
- TBD

This file has been truncated. show original

Da ist einiges von betroffen, was auch im Hobby-Bereich laufen könnte.

MarekG · 14. Dezember 2021 um 06:30

Wie in der Überschrift schon steht, wollte ich wissen, ob symcon von der log4j Lücke betroffen ist?

BSI WARNUNG log4j

Mfg

himisk71 · 14. Dezember 2021 um 06:32

Silberstreifen · 14. Dezember 2021 um 17:29

Log4j hat ja diverse Ableger wie Log4cpp oder Log4js. Weiß jemand, ob diese ebenfalls betroffen sind?

Wenn ja, dann sollten alle, die node.js oder IoBroker verwenden, mal Ihre Module durchflöhen. Ich habe das vorsichtshalber für die von mir zur Verfügung gestellte mqtt-Landroid-Bridge gemacht. Ergebnis: Log4js wird nicht verwendet.

Wer allerdings noch die alte Landroid-Bridge (Wurde am 11.01.2021 durch die MQTT-Landroid-Bridge abgelöst) verwendet, sollte diese sicherheitshalber abschalten, da diese Log4js nutzt.