Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss
Re: Aktuelle Java-Sicherheitslücke
2 views
Skip to first unread message
Günther Stumpf
Dec 13, 2021, 2:06:32 PM12/13/21
to
Beate Goebel schrieb:
> Dann frag in der Grupee, in die es vermutlich gehört.
> Ich leite mal um.
>
> Beate
>
> FollowUp-To de.comp.os.unix.misc
Hallo! :-)
Ich weiß nicht, ob ich bei euch richtig bin... falls nein, wäre ich für
eine Weiterleitung dankbar!
Die aktuelle Java-Sicherheitslücke.
(Ich bin in einem Aktien-Forum. Da kam die Frage auf:)
Kann die Sicherheits-Lücke den Wert eines Unternehmens stark schädigen?
Ich weiß, meine Frage ist vielleicht ungewöhnlich/unpassend in eurer Gruppe.
Wäre aber dennoch sehr dankbar für Antworten!
Gruß,
Günther
> Dann frag in der Grupee, in die es vermutlich gehört.
> Ich leite mal um.
>
> Beate
>
> FollowUp-To de.comp.os.unix.misc
Hallo! :-)
Ich weiß nicht, ob ich bei euch richtig bin... falls nein, wäre ich für
eine Weiterleitung dankbar!
Die aktuelle Java-Sicherheitslücke.
(Ich bin in einem Aktien-Forum. Da kam die Frage auf:)
Kann die Sicherheits-Lücke den Wert eines Unternehmens stark schädigen?
Ich weiß, meine Frage ist vielleicht ungewöhnlich/unpassend in eurer Gruppe.
Wäre aber dennoch sehr dankbar für Antworten!
Gruß,
Günther
Dennis Grevenstein
Dec 13, 2021, 2:59:36 PM12/13/21
to
Günther Stumpf <guenthe...@ist.invalid> wrote:
>
> Die aktuelle Java-Sicherheitslücke.
> (Ich bin in einem Aktien-Forum. Da kam die Frage auf:)
>
> Kann die Sicherheits-Lücke den Wert eines Unternehmens stark schädigen?
Hat der Wert eines Unternehmens im Sinne des Aktienkurses denn
>
> Die aktuelle Java-Sicherheitslücke.
> (Ich bin in einem Aktien-Forum. Da kam die Frage auf:)
>
> Kann die Sicherheits-Lücke den Wert eines Unternehmens stark schädigen?
überhaupt etwas damit zu tun, wie zuverlässig ein Unternehmen
irgendeinen service anbietet? Solange nicht die Kunden massenweise
von einem Anbieter zum anderen wechseln (keine Ahnung... Oracle -> IBM
z.B.) dann ist das doch wie höhere Gewalt oder eine Naturkatastrophe.
Ich hätte jetzt gedacht, dass die gesamte Branche systematisch die
Kosten für die Entwicklung sicherer Software unterschätzt, weil man
eben davon ausgeht, dass alles sicher ist und wenn nicht, dann ist
es wie halt höhere Gewalt. Das ist doch die Grundlage der langen
Diskussion, ob Kunden ein Recht auf sichere Software haben oder
ob sie von der Gnade der Hersteller abhängig sind, dass die mal
die bugs fixen.
Bestes Beispiel ist ja Apple (ich nenne es mal, weil ich selbst
einen Mac benutze), eine Firma, deren Haltung zum Thema sichere
Software oft sehr zu wünschen übrig lässt. Trotzdem sind die
extrem erfolgreich.
gruss,
Dennis
--
"I've seen things you people wouldn't believe. Attack ships on fire off the
shoulder of Orion. I watched C-beams glitter in the dark near the Tannhäuser
gate. All those moments will be lost in time, like tears in rain."
Kay Martinen
Dec 13, 2021, 3:10:01 PM12/13/21
to
Am 13.12.21 um 20:06 schrieb Günther Stumpf:
eher in deinem Aktienforum passen.
Wenn du den "Sicherheits-Wert" hinsichtlich der log4shell lücke meinst:
Da dürfte noch weitgehend unklar sein welche Software all-überall dieses
Modul überhaupt enthält und dann auch anfällig ist. Aber wenn so lassen
sich offenbar kommandos ausführen und das ist schon ernst.
Da die Lücke augenscheinlich leicht zu nutzen ist kann man denke ich nur
umgekehrt argumentieren/ausschließen das Software die kein Java enthält
auch nicht davon betroffen sein kann.
Von der anderen Seite her muß nicht jede Java-Software betroffen sein,
sondern nur jene in der dies modul existiert.
Es würde mich allerdings überraschen wenn Aktionäre eine so
Tiefergehende Sicht auf's Technische hätten wenn es um Angst oder Mut
bezüglich Aktieninvestments geht.
Meine Standard-vermutung wäre eher "Oh, eine Kritische Lücke... PANIK,
Verkaufen, verkaufen, verkaufen"
HtH.
Bye/
/Kay
--
🅟🅞🅢🅣🅔🅓 🅥🅘🅐 🅛🅔🅐🅕🅝🅞🅓🅔
> Beate Goebel schrieb:
>
>> Dann frag in der Grupee, in die es vermutlich gehört.
>
>> Dann frag in der Grupee, in die es vermutlich gehört.
>> FollowUp-To de.comp.os.unix.misc
>
> Hallo! :-)
> Ich weiß nicht, ob ich bei euch richtig bin... falls nein, wäre ich für
> eine Weiterleitung dankbar!
>
> Die aktuelle Java-Sicherheitslücke.
> (Ich bin in einem Aktien-Forum. Da kam die Frage auf:)
>
> Kann die Sicherheits-Lücke den Wert eines Unternehmens stark schädigen?
>
> Ich weiß, meine Frage ist vielleicht ungewöhnlich/unpassend in eurer
> Gruppe.
> Wäre aber dennoch sehr dankbar für Antworten!
Wenn es um den Geldwert geht bist du hier wirklich falsch. Das dürfte
>
> Hallo! :-)
> Ich weiß nicht, ob ich bei euch richtig bin... falls nein, wäre ich für
> eine Weiterleitung dankbar!
>
> Die aktuelle Java-Sicherheitslücke.
> (Ich bin in einem Aktien-Forum. Da kam die Frage auf:)
>
> Kann die Sicherheits-Lücke den Wert eines Unternehmens stark schädigen?
>
> Ich weiß, meine Frage ist vielleicht ungewöhnlich/unpassend in eurer
> Gruppe.
> Wäre aber dennoch sehr dankbar für Antworten!
eher in deinem Aktienforum passen.
Wenn du den "Sicherheits-Wert" hinsichtlich der log4shell lücke meinst:
Da dürfte noch weitgehend unklar sein welche Software all-überall dieses
Modul überhaupt enthält und dann auch anfällig ist. Aber wenn so lassen
sich offenbar kommandos ausführen und das ist schon ernst.
Da die Lücke augenscheinlich leicht zu nutzen ist kann man denke ich nur
umgekehrt argumentieren/ausschließen das Software die kein Java enthält
auch nicht davon betroffen sein kann.
Von der anderen Seite her muß nicht jede Java-Software betroffen sein,
sondern nur jene in der dies modul existiert.
Es würde mich allerdings überraschen wenn Aktionäre eine so
Tiefergehende Sicht auf's Technische hätten wenn es um Angst oder Mut
bezüglich Aktieninvestments geht.
Meine Standard-vermutung wäre eher "Oh, eine Kritische Lücke... PANIK,
Verkaufen, verkaufen, verkaufen"
HtH.
Bye/
/Kay
--
🅟🅞🅢🅣🅔🅓 🅥🅘🅐 🅛🅔🅐🅕🅝🅞🅓🅔
Günther Stumpf
Dec 13, 2021, 3:45:50 PM12/13/21
to
Kay Martinen schrieb:
> Es würde mich allerdings überraschen wenn Aktionäre eine so
> Tiefergehende Sicht auf's Technische hätten wenn es um Angst oder Mut
> bezüglich Aktieninvestments geht.
Diese tiefergehende Sicht haben sie sicher nicht.
(In unserem Aktien-Forum kam nur die Frage auf, ob diese
Sicherheitslücke "die Kurse" schlechthin (oder manche Kurse) wird
beeinflussen können.
Ich bin nur ein ONU an meinem Privat-PC. Anscheinend wird Java weltweit
viele Millionen mal verwendet, um "Endgeräte" mit einem Netzwerk bzw.
Service zu verbinden.
Dass diese Java-Lücke tief in die IT von Unternehmen hinein wirken kann,
kann ich mir nicht vorstellen bzw. ich möchte es nicht hoffen.
Könnte z.B. ein Unternehmen bedroht sein, das Dinge wie Lohn-Abrechnung,
Waren-Management, Zahlungs-Abwicklung für seine Kunden erledigt?
(iPhones und Teslas scheinen ja "nach Hause" zu telefonieren.
Müsste aber schnell zu fixen sein. Dass daraus ein kritischer Schaden
entstehen wird, kann ich mir nicht vorstellen...
> Meine Standard-vermutung wäre eher "Oh, eine Kritische Lücke... PANIK,
> Verkaufen, verkaufen, verkaufen"
Ja. Wenn Angst auftaucht, reagiert die Börse wie ein ängstlicher
Minderjähriger.
Okay. Danke!
Ich glaube, zu meiner Frage kann man aktuell noch nichts sagen.
Gehört wohl auch nicht zum Kern-Geschäft dieser NG.
Dankeschön!
tschüss!
> Es würde mich allerdings überraschen wenn Aktionäre eine so
> Tiefergehende Sicht auf's Technische hätten wenn es um Angst oder Mut
> bezüglich Aktieninvestments geht.
(In unserem Aktien-Forum kam nur die Frage auf, ob diese
Sicherheitslücke "die Kurse" schlechthin (oder manche Kurse) wird
beeinflussen können.
Ich bin nur ein ONU an meinem Privat-PC. Anscheinend wird Java weltweit
viele Millionen mal verwendet, um "Endgeräte" mit einem Netzwerk bzw.
Service zu verbinden.
Dass diese Java-Lücke tief in die IT von Unternehmen hinein wirken kann,
kann ich mir nicht vorstellen bzw. ich möchte es nicht hoffen.
Könnte z.B. ein Unternehmen bedroht sein, das Dinge wie Lohn-Abrechnung,
Waren-Management, Zahlungs-Abwicklung für seine Kunden erledigt?
(iPhones und Teslas scheinen ja "nach Hause" zu telefonieren.
Müsste aber schnell zu fixen sein. Dass daraus ein kritischer Schaden
entstehen wird, kann ich mir nicht vorstellen...
> Meine Standard-vermutung wäre eher "Oh, eine Kritische Lücke... PANIK,
> Verkaufen, verkaufen, verkaufen"
Minderjähriger.
Okay. Danke!
Ich glaube, zu meiner Frage kann man aktuell noch nichts sagen.
Gehört wohl auch nicht zum Kern-Geschäft dieser NG.
Dankeschön!
tschüss!
Günther Stumpf
Dec 13, 2021, 3:55:53 PM12/13/21
to
Dennis Grevenstein schrieb:
halt die gesamte Branche abverkauft.
[snip]
> Ich hätte jetzt gedacht, dass die gesamte Branche systematisch die
> Kosten für die Entwicklung sicherer Software unterschätzt, weil man
> eben davon ausgeht, dass alles sicher ist und wenn nicht, dann ist
> es wie halt höhere Gewalt. Das ist doch die Grundlage der langen
> Diskussion, ob Kunden ein Recht auf sichere Software haben oder
> ob sie von der Gnade der Hersteller abhängig sind, dass die mal
> die bugs fixen.
Ich - als absolut Nicht-Wissender - frage mich z.B.: Wie tief kann diese
Sicherheitslücke in die IT-Struktur eines Unternehmens eindringen?
Kann man zur Zeit aber wohl noch nicht sagen.
Auch gehört meine Frage wohl nicht so ganz in eure NG...(?)
Ich danke euch jedenfalls für eure Antworten!
Beobachten wir den Vorgang.
Danke und
tschüss!
> Günther Stumpf <guenthe...@ist.invalid> wrote:
>>
>> Die aktuelle Java-Sicherheitslücke.
>> (Ich bin in einem Aktien-Forum. Da kam die Frage auf:)
>>
>> Kann die Sicherheits-Lücke den Wert eines Unternehmens stark schädigen?
>
> Hat der Wert eines Unternehmens im Sinne des Aktienkurses denn
> überhaupt etwas damit zu tun, wie zuverlässig ein Unternehmen
> irgendeinen service anbietet?
Ich denke, wenn, dann würde es die gesamte Branche treffen. Dann wird
>>
>> Die aktuelle Java-Sicherheitslücke.
>> (Ich bin in einem Aktien-Forum. Da kam die Frage auf:)
>>
>> Kann die Sicherheits-Lücke den Wert eines Unternehmens stark schädigen?
>
> Hat der Wert eines Unternehmens im Sinne des Aktienkurses denn
> überhaupt etwas damit zu tun, wie zuverlässig ein Unternehmen
> irgendeinen service anbietet?
halt die gesamte Branche abverkauft.
[snip]
> dann ist das doch wie höhere Gewalt oder eine Naturkatastrophe.
Das mag die Börse gar nicht;-)
> Ich hätte jetzt gedacht, dass die gesamte Branche systematisch die
> Kosten für die Entwicklung sicherer Software unterschätzt, weil man
> eben davon ausgeht, dass alles sicher ist und wenn nicht, dann ist
> es wie halt höhere Gewalt. Das ist doch die Grundlage der langen
> Diskussion, ob Kunden ein Recht auf sichere Software haben oder
> ob sie von der Gnade der Hersteller abhängig sind, dass die mal
> die bugs fixen.
Sicherheitslücke in die IT-Struktur eines Unternehmens eindringen?
Kann man zur Zeit aber wohl noch nicht sagen.
Auch gehört meine Frage wohl nicht so ganz in eure NG...(?)
Ich danke euch jedenfalls für eure Antworten!
Beobachten wir den Vorgang.
Danke und
tschüss!
Kay Martinen
Dec 13, 2021, 5:20:02 PM12/13/21
to
Am 13.12.21 um 21:45 schrieb Günther Stumpf:
Einen Geldwerten Vorteil zu erlangen? :-) An Persönliche Besorgnis mag
ich nicht so recht glauben.
vorhanden. Ich selbst weiß es vom Management-Interface (ILO) bei HP
Servern und von der Webkonfiguration von Cisco Switches (Ältere Catalyst
29xx/35xx) aber das sind Zugänge die normalerweise streng abgeschottet
vom Internet betrieben werden sollten. Dennoch kann man da ran kommen
und das es bei einigen nicht sauber getrennt ist, wirkt auch eher
schädlich. Ob es Java-anwendungen gibt die mit einer anderen
Java-anwendung "sprechen" (isv. Client-Server) mußt du
Java-Programmierer fragen. Und Server dürften weit häufiger das Ziel
sein weil meist mit fester IP Weltweit erreichbar. Den einzelnen Desktop
mit Java wird da kaum einer ins Visier nehmen, außer um ihn in ein
Botnetz ein zu bringen und darüber Angriffe zu orchestrieren. Auf
Server. Denn Dort liegen die Daten die viele Interessieren.
> Dass diese Java-Lücke tief in die IT von Unternehmen hinein wirken kann,
> kann ich mir nicht vorstellen bzw. ich möchte es nicht hoffen.
Das kann jede Lücke sobald sie die möglichkeit eröffnet einen Befehl an
das System zu senden. Und diese möglichkeit scheint hier gegeben. Durch
eine Simple Meldung in eine Logdatei.
> Könnte z.B. ein Unternehmen bedroht sein, das Dinge wie Lohn-Abrechnung,
> Waren-Management, Zahlungs-Abwicklung für seine Kunden erledigt?
Kennst du denn solche Software die in Java geschrieben wurde; statt in
C, C++ o.a. oder zumindest Teilmodule in Java enthält oder benutzt? Ich
auch nicht aber das schließt es leider nicht aus.
Java wird gern für Webinterfaces oder Grafische Tools auf dem Desktop
benutzt weil es gut portierbar ist. So kannst du ein Tool entwickeln und
auf verschiedenen Plattformen laufen lassen - so lange es dort eine
Java-runtime gibt. Die liest den Code und führt in aus.
> (iPhones und Teslas scheinen ja "nach Hause" zu telefonieren.
Gibt es neuerdings Java auf apple-HW? M.W. haben die das immer
abgelehnt/verhindert.
> Müsste aber schnell zu fixen sein. Dass daraus ein kritischer Schaden
> entstehen wird, kann ich mir nicht vorstellen...
Das klingt nach einer Experten-ansicht der du lt. eigener Aussage nicht
bist. Ich auch nicht, aber ich halte mich für doch deutlich mehr
bewandert in diesen Themen als ein ONU.
> Ich glaube, zu meiner Frage kann man aktuell noch nichts sagen.
S.o. Alles Annahmen, aber mit gewisser Fundierung. Also, wie bei Aktien,
oder? ;-)
> Gehört wohl auch nicht zum Kern-Geschäft dieser NG.
Das "Kern-Geschäft" diese NG ist; dem namen nach; Computer mit einem
Unixoiden OS und allem verschiedenen das nicht in anderen Gruppen besser
passt. Es gibt NGs zu Windows, zu Security, zu Apple-Produkten, zu
Programmiersprachen und vermutlich auch zu Java.
Deinem User-Agent nach verwendest du Windows 10 und hast eine Frage zur
Sicherheit von <irgendeiner> Java Software. Da wäre eigentlich die
windows.misc gruppe passend. Und wenn's um Java unter Windows geht die
windows.anwendungen gruppe, wenns um Java2Java ginge die
windows.netzwerke gruppe.
Und obwohl noch viele Desktops mit Windows laufen fragst du hier. In der
Annahme das Server eher mit Linux laufen, was eine Unix-Verwandtschaft
hat - aber kein Unix ist? Dann wäre die unix.linux.misc gruppe richtiger.
Wo soll dein Thema also jetzt genauer hin gehen?
Bye/
/Kay
--
🅟🅞🅢🅣🅔🅓 🅥🅘🅐 🅛🅔🅐🅕🅝🅞🅓🅔
> Kay Martinen schrieb:
>
>> Es würde mich allerdings überraschen wenn Aktionäre eine so
>> Tiefergehende Sicht auf's Technische hätten wenn es um Angst oder Mut
>> bezüglich Aktieninvestments geht.
>
> Diese tiefergehende Sicht haben sie sicher nicht.
> (In unserem Aktien-Forum kam nur die Frage auf, ob diese
> Sicherheitslücke "die Kurse" schlechthin (oder manche Kurse) wird
> beeinflussen können.
Und deine Intention hier mehr drüber raus zu finden ist jetzt... welche?
>
>> Es würde mich allerdings überraschen wenn Aktionäre eine so
>> Tiefergehende Sicht auf's Technische hätten wenn es um Angst oder Mut
>> bezüglich Aktieninvestments geht.
>
> Diese tiefergehende Sicht haben sie sicher nicht.
> (In unserem Aktien-Forum kam nur die Frage auf, ob diese
> Sicherheitslücke "die Kurse" schlechthin (oder manche Kurse) wird
> beeinflussen können.
Einen Geldwerten Vorteil zu erlangen? :-) An Persönliche Besorgnis mag
ich nicht so recht glauben.
> Ich bin nur ein ONU an meinem Privat-PC. Anscheinend wird Java weltweit
> viele Millionen mal verwendet, um "Endgeräte" mit einem Netzwerk bzw.
> Service zu verbinden.
Java; früher von Sun, jetzt von Oracle; ist natürlich auf vielen Geräten
> viele Millionen mal verwendet, um "Endgeräte" mit einem Netzwerk bzw.
> Service zu verbinden.
vorhanden. Ich selbst weiß es vom Management-Interface (ILO) bei HP
Servern und von der Webkonfiguration von Cisco Switches (Ältere Catalyst
29xx/35xx) aber das sind Zugänge die normalerweise streng abgeschottet
vom Internet betrieben werden sollten. Dennoch kann man da ran kommen
und das es bei einigen nicht sauber getrennt ist, wirkt auch eher
schädlich. Ob es Java-anwendungen gibt die mit einer anderen
Java-anwendung "sprechen" (isv. Client-Server) mußt du
Java-Programmierer fragen. Und Server dürften weit häufiger das Ziel
sein weil meist mit fester IP Weltweit erreichbar. Den einzelnen Desktop
mit Java wird da kaum einer ins Visier nehmen, außer um ihn in ein
Botnetz ein zu bringen und darüber Angriffe zu orchestrieren. Auf
Server. Denn Dort liegen die Daten die viele Interessieren.
> Dass diese Java-Lücke tief in die IT von Unternehmen hinein wirken kann,
> kann ich mir nicht vorstellen bzw. ich möchte es nicht hoffen.
das System zu senden. Und diese möglichkeit scheint hier gegeben. Durch
eine Simple Meldung in eine Logdatei.
> Könnte z.B. ein Unternehmen bedroht sein, das Dinge wie Lohn-Abrechnung,
> Waren-Management, Zahlungs-Abwicklung für seine Kunden erledigt?
C, C++ o.a. oder zumindest Teilmodule in Java enthält oder benutzt? Ich
auch nicht aber das schließt es leider nicht aus.
Java wird gern für Webinterfaces oder Grafische Tools auf dem Desktop
benutzt weil es gut portierbar ist. So kannst du ein Tool entwickeln und
auf verschiedenen Plattformen laufen lassen - so lange es dort eine
Java-runtime gibt. Die liest den Code und führt in aus.
> (iPhones und Teslas scheinen ja "nach Hause" zu telefonieren.
abgelehnt/verhindert.
> Müsste aber schnell zu fixen sein. Dass daraus ein kritischer Schaden
> entstehen wird, kann ich mir nicht vorstellen...
bist. Ich auch nicht, aber ich halte mich für doch deutlich mehr
bewandert in diesen Themen als ein ONU.
> Ich glaube, zu meiner Frage kann man aktuell noch nichts sagen.
oder? ;-)
> Gehört wohl auch nicht zum Kern-Geschäft dieser NG.
Unixoiden OS und allem verschiedenen das nicht in anderen Gruppen besser
passt. Es gibt NGs zu Windows, zu Security, zu Apple-Produkten, zu
Programmiersprachen und vermutlich auch zu Java.
Deinem User-Agent nach verwendest du Windows 10 und hast eine Frage zur
Sicherheit von <irgendeiner> Java Software. Da wäre eigentlich die
windows.misc gruppe passend. Und wenn's um Java unter Windows geht die
windows.anwendungen gruppe, wenns um Java2Java ginge die
windows.netzwerke gruppe.
Und obwohl noch viele Desktops mit Windows laufen fragst du hier. In der
Annahme das Server eher mit Linux laufen, was eine Unix-Verwandtschaft
hat - aber kein Unix ist? Dann wäre die unix.linux.misc gruppe richtiger.
Wo soll dein Thema also jetzt genauer hin gehen?
Bye/
/Kay
--
🅟🅞🅢🅣🅔🅓 🅥🅘🅐 🅛🅔🅐🅕🅝🅞🅓🅔
Günther Stumpf
Dec 14, 2021, 4:23:39 PM12/14/21
to
Kay Martinen schrieb:
> Und deine Intention hier mehr drüber raus zu finden ist jetzt... welche?
> Einen Geldwerten Vorteil zu erlangen? :-) An Persönliche Besorgnis mag
> ich nicht so recht glauben.
Genau:-) Geldwerter Vorteil. Da müsste ich aber auf fallende Kurse
setzen und dazu wird es aber wohl - jedenfalls mit einer gewissen
Markt-Breite - nicht kommen.
Habe vor vielen Jahren regelmäßig in de.comp.os.ms-windows.misc gelesen
und auch geschrieben. Dachte, ich könnte jetzt auf die Schnelle gute
Einschätzungen aus NGs (zur "Problematik") bekommen, damit ich in meinem
Aktien-Forum als guter "Informations-Gewinner" dastehe:-)
ausnahmsweise;-) - nicht in klingender Münze) die Sache weiter zu verfolgen.
Dankeschön nochmals für alle Antworten!
tschüss
> Und deine Intention hier mehr drüber raus zu finden ist jetzt... welche?
> Einen Geldwerten Vorteil zu erlangen? :-) An Persönliche Besorgnis mag
> ich nicht so recht glauben.
setzen und dazu wird es aber wohl - jedenfalls mit einer gewissen
Markt-Breite - nicht kommen.
Habe vor vielen Jahren regelmäßig in de.comp.os.ms-windows.misc gelesen
und auch geschrieben. Dachte, ich könnte jetzt auf die Schnelle gute
Einschätzungen aus NGs (zur "Problematik") bekommen, damit ich in meinem
Aktien-Forum als guter "Informations-Gewinner" dastehe:-)
> S.o. Alles Annahmen, aber mit gewisser Fundierung. Also, wie bei Aktien,
> oder? ;-)
Stimmt!:-)
> oder? ;-)
> Wo soll dein Thema also jetzt genauer hin gehen?
Am besten ins Off. Es lohnt sich nicht (und dabei denke ich jetzt mal -
ausnahmsweise;-) - nicht in klingender Münze) die Sache weiter zu verfolgen.
Dankeschön nochmals für alle Antworten!
tschüss
Helmut Waitzmann
Dec 14, 2021, 4:49:04 PM12/14/21
to
Günther Stumpf <guenthe...@ist.invalid>:
>Ich bin nur ein ONU an meinem Privat-PC. Anscheinend wird Java
>weltweit viele Millionen mal verwendet, um "Endgeräte" mit einem
>Netzwerk bzw. Service zu verbinden.
>Dass diese Java-Lücke tief in die IT von Unternehmen hinein wirken
>kann, kann ich mir nicht vorstellen bzw. ich möchte es nicht hoffen.
Da muss ich deiner Vorstellung etwas auf die Sprünge helfen: Wenn
diese Sicherheitslücke dazu führt, dass der Angreifer das betroffene
System dazu bringt, mit «root»‐Rechten (also Administratorrechten,
denn in der Unix‐Welt heißt der Administrator «root») zu tun, was
der Angreifer will, dann hat der Angreifer das System vollständig in
der Hand und kann damit tun und lassen, was er will. Er kann
vorhandene (Geschäfts‐) Daten kopieren und verändern oder
verschlüsseln und nur gegen Lösegeld herausrücken; er kann von
diesem System aus weitere Angriffe auf andere Systeme, die sich von
diesem System etwas befehlen lassen, fahren; er kann, wenn es sich
um die Steuerung eines Kernkraftwerks handelt, … Der Vorstellung
sind dabei buchstäblich keine Grenzen gesetzt.
Ob die Sicherheitslücke mit «root»‐Rechten ausgenutzt werden kann,
hängt natürlich davon ab, an welchen Stellen diese angreifbare
Java‐Bibliothek auf dem System jeweils eingesetzt wird. Falls
Programme, die mit «root»‐Rechten laufen, betroffen sind, ist der
GAU zu befürchten.
>Könnte z.B. ein Unternehmen bedroht sein, das Dinge wie
>Lohn-Abrechnung, Waren-Management, Zahlungs-Abwicklung für seine
>Kunden erledigt?
Die Antwort kannst du dir nach der Untersuchung des Einzelfalls dann
selber geben.
>(iPhones und Teslas scheinen ja "nach Hause" zu telefonieren.
>Müsste aber schnell zu fixen sein. Dass daraus ein kritischer Schaden
>entstehen wird, kann ich mir nicht vorstellen...
Ich darf auch hier deinem Vorstellungsvermögen beispringen: Stell
dir vor, ein iPhone kommt im Sinne von «bring your own device» mit
Firmensystemen in Berührung, ist aber aufgrund der Sicherheitslücke
von Schadsoftware befallen, dann kann es – vom Anwender unbemerkt –
zur Wanze oder zum Maulwurf werden und ähnlichen Schaden wie oben
anrichten.
Also: Es kommt darauf an, wo die Java‐Bibliothek im Einzelfall
jeweils eingesetzt wird.
>Ich bin nur ein ONU an meinem Privat-PC. Anscheinend wird Java
>weltweit viele Millionen mal verwendet, um "Endgeräte" mit einem
>Netzwerk bzw. Service zu verbinden.
>Dass diese Java-Lücke tief in die IT von Unternehmen hinein wirken
>kann, kann ich mir nicht vorstellen bzw. ich möchte es nicht hoffen.
diese Sicherheitslücke dazu führt, dass der Angreifer das betroffene
System dazu bringt, mit «root»‐Rechten (also Administratorrechten,
denn in der Unix‐Welt heißt der Administrator «root») zu tun, was
der Angreifer will, dann hat der Angreifer das System vollständig in
der Hand und kann damit tun und lassen, was er will. Er kann
vorhandene (Geschäfts‐) Daten kopieren und verändern oder
verschlüsseln und nur gegen Lösegeld herausrücken; er kann von
diesem System aus weitere Angriffe auf andere Systeme, die sich von
diesem System etwas befehlen lassen, fahren; er kann, wenn es sich
um die Steuerung eines Kernkraftwerks handelt, … Der Vorstellung
sind dabei buchstäblich keine Grenzen gesetzt.
Ob die Sicherheitslücke mit «root»‐Rechten ausgenutzt werden kann,
hängt natürlich davon ab, an welchen Stellen diese angreifbare
Java‐Bibliothek auf dem System jeweils eingesetzt wird. Falls
Programme, die mit «root»‐Rechten laufen, betroffen sind, ist der
GAU zu befürchten.
>Könnte z.B. ein Unternehmen bedroht sein, das Dinge wie
>Lohn-Abrechnung, Waren-Management, Zahlungs-Abwicklung für seine
>Kunden erledigt?
selber geben.
>(iPhones und Teslas scheinen ja "nach Hause" zu telefonieren.
>Müsste aber schnell zu fixen sein. Dass daraus ein kritischer Schaden
>entstehen wird, kann ich mir nicht vorstellen...
dir vor, ein iPhone kommt im Sinne von «bring your own device» mit
Firmensystemen in Berührung, ist aber aufgrund der Sicherheitslücke
von Schadsoftware befallen, dann kann es – vom Anwender unbemerkt –
zur Wanze oder zum Maulwurf werden und ähnlichen Schaden wie oben
anrichten.
Also: Es kommt darauf an, wo die Java‐Bibliothek im Einzelfall
jeweils eingesetzt wird.
Frank Miller
Dec 14, 2021, 7:08:47 PM12/14/21
to
Günther Stumpf wrote:
> Kay Martinen schrieb:
>
>> Und deine Intention hier mehr drüber raus zu finden ist jetzt... welche?
>> Einen Geldwerten Vorteil zu erlangen? :-) An Persönliche Besorgnis mag
>> ich nicht so recht glauben.
>
> Genau:-) Geldwerter Vorteil.
[..snip..]
> Kay Martinen schrieb:
>
>> Und deine Intention hier mehr drüber raus zu finden ist jetzt... welche?
>> Einen Geldwerten Vorteil zu erlangen? :-) An Persönliche Besorgnis mag
>> ich nicht so recht glauben.
>
> Genau:-) Geldwerter Vorteil.
> Habe vor vielen Jahren regelmäßig in de.comp.os.ms-windows.misc gelesen
> und auch geschrieben. Dachte, ich könnte jetzt auf die Schnelle gute
> Einschätzungen aus NGs (zur "Problematik") bekommen, damit ich in meinem
> Aktien-Forum als guter "Informations-Gewinner" dastehe:-)
[..snip..]
> und auch geschrieben. Dachte, ich könnte jetzt auf die Schnelle gute
> Einschätzungen aus NGs (zur "Problematik") bekommen, damit ich in meinem
> Aktien-Forum als guter "Informations-Gewinner" dastehe:-)
[..snip..]
> Am besten ins Off. Es lohnt sich nicht (und dabei denke ich jetzt mal -
> ausnahmsweise;-) - nicht in klingender Münze) die Sache weiter zu verfolgen.
Och guck mal! **Ein kleines Arschloch!**
> ausnahmsweise;-) - nicht in klingender Münze) die Sache weiter zu verfolgen.
Peter J. Holzer
Dec 15, 2021, 7:20:24 AM12/15/21
to
On 2021-12-13 22:12, Kay Martinen <use...@martinen.de> wrote:
> Am 13.12.21 um 21:45 schrieb Günther Stumpf:
> Am 13.12.21 um 21:45 schrieb Günther Stumpf:
>> Könnte z.B. ein Unternehmen bedroht sein, das Dinge wie Lohn-Abrechnung,
>> Waren-Management, Zahlungs-Abwicklung für seine Kunden erledigt?
>
> Kennst du denn solche Software die in Java geschrieben wurde; statt in
> C, C++ o.a. oder zumindest Teilmodule in Java enthält oder benutzt?
Ja. Java ist im Enterprise-Umfeld eine sehr beliebte Programmiersprache.
>> Waren-Management, Zahlungs-Abwicklung für seine Kunden erledigt?
>
> Kennst du denn solche Software die in Java geschrieben wurde; statt in
> C, C++ o.a. oder zumindest Teilmodule in Java enthält oder benutzt?
Gerade solche Applikationen werden gerne in Java geschrieben. In C eher
nicht. In C++ vielleicht.
> Ich auch nicht aber das schließt es leider nicht aus.
>
> Java wird gern für Webinterfaces oder Grafische Tools auf dem Desktop
> benutzt weil es gut portierbar ist. So kannst du ein Tool entwickeln und
> auf verschiedenen Plattformen laufen lassen - so lange es dort eine
> Java-runtime gibt. Die liest den Code und führt in aus.
mittlerweile eher selten. Vor allem wird es im Server-Bereich verwendet.
Wann immer Du mit einer Website eines großen Unternehmens sprichst,
kannst Du fast sicher sein, dass da irgendwo Java im Spiel ist.
Vielleicht nicht direkt am Web-Interface aber jedenfalls dahinter. Und
alles, was an Requests aus dem großen bösen Internet hereinkommt, will
man loggen, und dafür wird im Java-Bereich eben (hauptsächlich) Log4J
verwendet.
>> (iPhones und Teslas scheinen ja "nach Hause" zu telefonieren.
>
> Gibt es neuerdings Java auf apple-HW? M.W. haben die das immer
> abgelehnt/verhindert.
scheint es dort nicht die bevorzugte Sprache zu sein. Auf Android
hingegen sind seht viele (fast alle?) Apps in Java geschrieben.
hp
0 new messages