Computer Archive - Seite 10 von 89

Log4j Sicherheitslücke

Es gibt mal wieder eine Sicherheitslücke. Diesmal in der weit verbreiteten Java-Logging Bibliothek "Log4j" wie Heise berichtete.
Wenn man die Liste der Firmen anschaut, welche diese Bibliothek mutmaßlich einsetzen ist das auch leicht erschreckend. Hinzu kommt, dass Java eben auch mehr oder weniger die Hauptprogrammiersprache ist, wenn es um Geschäftsanwendungen geht. Eben weil es dazu auch schon sehr viele Bibliotheken gibt.
Dieser XKCD zum Thema Dependency bringt es wirklich gut auf den Punkt. Irgendjemand schreibt eine ziemlich gute Bibliothek und viele Programmierer nutzen diese einfach. Das ist durchaus legitim, man nennt es auch Open Source Software. Allerdings hatten wir doch schon mal mit Heartbleed Lücken in der OpenSSL Bibliothek das gleiche Szenario. Irgendjemand kümmert sich in seiner Freizeit unbezahlt um eine Bibliothek, die wiederum sehr viele große Firmen einfach kostenfrei nutzen. Vermutlich bekommt dieser Programmierer nicht mal irgendeine Form des Dankes zurück. Und dann wundern wir uns, wenn irgendwann mal eine Sicherheitslücke gefunden wird und plötzlich das ganze Internet davon betroffen ist. Die gesammelten Memes dazu sind jedenfalls goldig.

Dieser Tweet fasst die Situation auch nochmal gut zusammen. Besonders bemerkenswert finde ich die Tatsache, dass ausgerechnet die Minecraft Leute diesen Bug entdeckt haben. Das kam wirklich unerwartet. Scheinbar ist die Mod Community dort mittlerweile auch sehr gut in solchen Dingen.

"How to RCE billions of Java apps by fuzzing Minecraft" was not in my bingo card for this century.

— Alesandro Ortiz ?????? (@AlesandroOrtizR) December 12, 2021

Ich bin echt gespannt, was nun alles bei uns in der Firma davon betroffen ist und wie schnell man das Problem abstellen kann.

Update vom 13.12.2021:

Heise hat schon einen Artikel mit Lösungsvorschlägen veröffentlicht.

Golem hat natürlich auch einen Beitrag dazu veröffentlicht.

Die besten Tweets von @Nell781

Die @Nell781 ist Krankenschwester und beschreibt hin und wieder recht anschaulich von ihrem Leben dort, aber auch andere schöne Anekdoten. Deshalb war sie auch mal ein Teil von den Twitterperlen. Völlig zurecht wie ich finde. Ihren Beitrag findet ihr hier.

Alles von der Informationsfreiheit gedeckt

FragdenStaat.de ist eine Plattform um Dokumente, die für die Öffentlichkeit relevant sind im Rahmen von Informationsfreiheits Anfragen bei den zuständigen Behörden anzufragen. Leider stellen die Behörden hier auch immer wieder Fallstricke auf, da sie nicht wollen, dass alles so transparent ist. Meistens entstehen dann auch ein paar Kosten dazu. Deshalb sammelt Frag den Staat aktuell auch wieder Spenden ein.
Aber es wurde dazu auch eine Cover Version von Danger Dans "Das ist alles von der Kunstfreiheit gedeckt" erstellt. Hört es euch selbst an.

0 vs. NULL

Ich habe jahrelang immer gedacht, dass 0 und NULL eigentlich das gleiche ist. Aber dann hab ich irgendwann mal mit dem Programmieren angefangen und den Unterschied recht schnell gemerkt.
NULL hat gar keinen Wert, also ist nicht existent.
0 dagegen ist einfach der Wert 0.
Ich finde dieses Bild verdeutlich es doch recht gut.

Fefe hat den Koalitionsvertrag "gehackt"

Als regelmäßiger Hörer vom LNP ist man das Totalversagen Deutschlands in Sachen Digitalisierung gewöhnt. Auch heute gibt es noch weite Teile ohne gescheite Mobilfunkabdeckung, das Internet ist auch immer noch Glückssache. Wobei es die letzten Jahre doch besser geworden ist. Auch die Corona Warn App war dann wieder ein gutes und positives Beispiel. Selbst die Briten hatten uns damals dafür gelobt.
Trotzdem werden immer wieder unschöne Dinge wie die Vorratsdatenspeicherung und weitere weitreichende Überwachungsmaßnahmen für die Polizei und Geheimdienst gefordert. Auch der Staatstrojaner ist ein beliebtes Mittel für die CDU und die Polizei. Das mag für Einzelfälle sinnvoll sein, aber durch solche Maßnahmen schränkt man auch die grundsätzliche Sicherheit aller technischen Geräte ein. Für Staatstrojaner müssen Sicherheitslücken geheim gehalten werden, damit man einen Angriffsvektor hat. Das ist grundsätzlich nie eine gute Idee.
Genau deshalb freut es mich, dass es Fefe und weiteren Mitgliedern des CCC gelungen ist endlich technisch sinnvolle Vorschläge für den Koalitionsvertrag abzugeben. Da die Leute scheinbar auch faul sind, haben sie einfach mal weite Vorschläge 1 zu 1 übernommen. Wenn die neue Regierung das tatsächlich umsetzt wird Deutschland hoffentlich auch wieder in Sachen Technologie deutlich besser als bisher.
Vor allem ist es sinnvoll bekannte Sicherheitslücken dem BSI zu melden und nicht mehr geheim zu halten. Eine schöne Zusammenfassung der technischen "Hacks" gibt es bei Fefe.
Das ist aktuell bei all dem Corona Gedöns wirklich mal eine hoffnungsvolle Botschaft und ich bin gespannt ob die neue Regierung es schafft das Ganze sinnvoll umzusetzen oder ob es es am Ende doch wieder nur eine CDU 2.0 Regierung ist obwohl diesmal keine CDU in der Regierung dabei ist.

Tobi on Der Keller vom alten Calwer Schwimmbad: “Scheinbar ja. :)” Nov 1, 13:20
Monkel on Der Keller vom alten Calwer Schwimmbad: “15 Jahre! Ich werde alt…” Okt 31, 07:51
Umzugsunternehmen Berlin on Wohnung aufräumen tut gut: “Ja, Putzen ist eine gute Sache, die wir täglich tun, egal ob wir unsere Wohnung oder unser Büro putzen, um…” Okt 21, 09:42
Mao43 on Montreal - Solang die Fahne weht: “Spannender Text von „Solang die Fahne weht“! :) Danke für den Beitrag” Jun 26, 17:35
Tobi on Friedenskundgebung gegen den Ukraine Krieg: “Hier eine aktuelle Liste zu den Boycotts gegen Russland. https://www.websiteplanet.com/blog/companies-boycotting-russia/” Mai 12, 23:17

M	D	M	D	F	S	S
1	2	3	4	5	6	7
8	9	10	11	12	13	14
15	16	17	18	19	20	21
22	23	24	25	26	27	28
29	30