Ist Log4Shell ein Problem?
-
-
@elektropa sagte:Anders gefragt, kan man zur Zeit unter diesem Gesichtspunkt MediathekView bedenkenlos weiter nutzen?
Oder auch anders gefragt, könnte man nicht wenigstens die Überschriften der letzten 2 Threads lesen, bevor man selbst einen neuen eröffnet?
EDIT:
So ergibt das Merging von Posts natürlich keinen Sinn, wenn die chronologische Abfolge nicht mehr stimmt. Das wäre ja mal ein Thread gewesen, denn man sperren hätte können, da es in selber Sache schon einen Thread gibt. Dafür werden wieder andere Threads grund- und wahllos gesperrt. Okay, nichts Neues hier im Forum, aber ein konsistentes (und kompetentes) Vorgehen wäre ja schon mal schön, so nach bald 5 Jahren, seit es dieses Forum gibt. -
M MenchenSued verschob dieses Thema von Fragen, Hilfe, Kritik am
-
Hallo zusammen,
ja ich habe das hier bisher auch so verstanden,
@derreisende77 sagte in Ist Log4Shell ein Problem?:MediathekView ist ein Client, kein Server -> Punkt 1 nicht erfüllt
aber auch das hier über https://gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592 gefunden:
https://www.techsolvency.com/story-so-far/cve-2021-44228-log4j-log4shell/
“Targets: Servers and clients that run Java and also log anything using the log4j framework - primarily a server-side concern, but any vulnerable endpoint could be a target or a pivot point
Downstream projects: until proven otherwise, assume anything that includes log4j - including Elasticsearch, Apache Struts / Solr / Druid / Flink, etc. - is affected in a way that requires mitigation; see below”Die 1. Quelle wird auch hier https://www.lsi.bayern.de/aktuelles/meldungen/20211213_log4j/ zitiert, ordne ich also erst mal als sinnvoll ein.
Es gibt zumindest eine Öffentliche Organisation (Sorry Insiderwissen - daher hier keine Details) die hat heute FF auf einem VirtualDesktop für die Nutzer mit dem Verweis auf log4j gesperrt.
Ein anderer Browser blieb wohl verfügbar.Braucht es wirklich einen Server, oder sind da driveby Downloads auch im normalen Stream denkbar die über den Browser aufschlagen, wenn Java/log4j dort laufen dort ankommen und die ganze Chose dann im Browser / User Kontext weiterläuft?
Habe da vorhin mal versucht weiterzudenken, was das z.B. für die Daten auf meinem gerade gemappten DAVFS-Nextcloud Drive bedeutet wenn mein Broswer (mit meinen User-Rechten) irgendwas zu verschlüsseln - der Schaden wäre schnell unübersichtlich / aufwändig zu beheben - backups hin oder her
Und ja, mir ist selber nicht wohl bei der Frage, Alu-Hut besitze ich keinen…
//hufnala
-
@hufnala Log4Shell ist mit 13.8.1 definitiv kein Problem mehr.
Und für Version 13.8.1 und kleiner ist es esoterik darüber zu philosophieren ob MV betroffen ist oder nicht. Ich habe hierzu meine Punkte geäußert und das Thema ist für mich erledigt. Wir haben ein Szenario gefunden wo log4shell aktiviert hätte werden können. Dies setzte aber voraus das der User am Rechner den String in ein Textfeld kopiert. Wer das mutwillig macht braucht kein log4shell, der hat den Touristen schon vor Ort um Dinge zu erledigen
Und zum Thema öffentliche Institutionen: Auch ich kenne eine die heute ihre WLAN-Router wegen log4shell deaktiviert hat -> weil auf denen in der Regel auch ein Java läuft…ohne Worte.
-
@hufnala sagte in Ist Log4Shell ein Problem?:
Es gibt zumindest eine Öffentliche Organisation (Sorry Insiderwissen - daher hier keine Details) die hat heute FF auf einem VirtualDesktop für die Nutzer mit dem Verweis auf log4j gesperrt.
Ein anderer Browser blieb wohl verfügbar.Lass mich raten: Internet Explorer 11 wird als Alternative angeboten?
-
Hi, ich wollte niemandem zu nahe treten, oder irgendwas bzgl. mv herbeireden, sondern habe nur gefragt. Und nein es war edge, nicht IE…, soweit ich weiß aktuell gepatcht. Über MS kann man ja denken was man will, verbreitet ist das, und die Paarung hätte ich auch anders herum nicht verstanden - außer dass der Client einen Einfluss hat. Bei mir im log taucht auch curl auf, was sich wohl mehr oder minder als http endpunkt beschreiben lassen dürfte, oder?
BTW: ich nutze “nur” den Kodi client, hoffe mal der ist auch aktuell oder anders aufgebaut…
Also nochmal danke!
//hufnala -
Open source developers do NOT have to:
- Make your issue a priority, just because you say so.
- Give you any sort of "timetable", or explanation for why it´s "taking too long".
Check your entitlement. Nobody owes you anything.
-
@derreisende77 …Kodi ist C und Python…ist mir nicht ganz klar wo das relevant ist…
-
@codingpf naja mir war das schon klar, aber eine Antwort aus berufenem Munde hierzu ist doch immer schön 🤪
