Hi,
Keine Ahnung. Ist IPs ggf. von den Log4s Problem betroffen?
Hi,
Keine Ahnung. Ist IPs ggf. von den Log4s Problem betroffen?
Nein, IP-Syncon ist nicht betroffen. IP-Symcon ist komplett in C++ geschrieben und nutzt Log4j (Java) somit gar nicht. Auch der Connect-Dienst und unsere anderen Backend-Dienste nutzen kein Log4J. Somit sind alle unsere Dienste nicht von der Lücke betroffen.
paresy
Wow, was ne Quelle. Ich hab erst mal geschaut, ob der Artikel nicht noch von Claas Relotius stammt.
Aber heise Security berichtet auch.
Die Spiegel-Quelle ging halt auf die schnelle. Bei meinem Arbeitgeber intern klingt das etwas anders….
Für alle Unifi Jünger, die Controller Software ist betroffen, ein Update steht bereit.
Loerdy
Wenn ich das richtig verstehe ist die Lücke nur kritisch wenn man den UniFi Controller nach außen offen hat, oder? (Oder Angreifer über das Gäste WLAN hat)
paresy
Das liest sich auf Heise für mich anders. Im Changelog ist auch nur diese Änderung aufgeführt. Ich denke, Ubiquiti sieht das auch kritisch. Ich hab meinen Controller aktualisiert, war in 5 Minuten erledigt.
Loerdy
Zu Ubiquiti ist die Aussage deutlich, deshalb Updaten. So ist das halt, nicht nur kaufen und nutzen, sondern auch „betreiben“, also pflegen.
Warnstufe Rot: Log4j-Zero-Day-Lücke bedroht Heimanwender und Firmen | heise online
Hallo,
ist IP-Symcon von der aktuellen Lücke bei „Log4J“ ebenfalls betroffen?
Link: Kritische Schwachstelle in log4j veröffentlicht (CVE-2021-44228) (bund.de)
Gibt es schon Infos wann / ob ein Update verfügbar sein wird bzw. wie man bisdahin ggf. Gegenmaßnahmen vornehmen kann?
Gibt kein Java im IPS
Habe deinem Beitrag hier Mal angehängt.
Michael
Da scheint doch der ein oder andere Service vorsichtig zu reagieren oder tatsächlich ein Problem zu haben.
Aktuell Meldung im WISO Mein Geld
Der Link geht zur offiziellen BSI Seite zu diesem Problem.
Und als Ergänzung aus dem neusten Heise Artikel
Die unvollständige Liste möglicherweise betroffener Systeme
Da ist einiges von betroffen, was auch im Hobby-Bereich laufen könnte.
Wie in der Überschrift schon steht, wollte ich wissen, ob symcon von der log4j Lücke betroffen ist?
Mfg
Log4j hat ja diverse Ableger wie Log4cpp oder Log4js. Weiß jemand, ob diese ebenfalls betroffen sind?
Wenn ja, dann sollten alle, die node.js oder IoBroker verwenden, mal Ihre Module durchflöhen. Ich habe das vorsichtshalber für die von mir zur Verfügung gestellte mqtt-Landroid-Bridge gemacht. Ergebnis: Log4js wird nicht verwendet.
Wer allerdings noch die alte Landroid-Bridge (Wurde am 11.01.2021 durch die MQTT-Landroid-Bridge abgelöst) verwendet, sollte diese sicherheitshalber abschalten, da diese Log4js nutzt.