Ist das Forum/Server auch vom Log4j Fehler betroffen?

[netsupervisor]

Der Titel sagt eigentlich alles. Ich hoffe ihr habt auch nicht übermäßig als Forum-Betreiber Ärger mit dem Java Log4Shell Fehler. Ich jedenfalls konnte meine Server und Firewall auf grün setzen.
Vielleicht kennt ihr das Thema noch gar nicht, ich denke aber mal doch.

 

[fahe]

...was genau sollte eine log-Bibo für Java in einem Php-Umfeld Deiner Meinung nach genau tun?

 

[netsupervisor]

Das ist eine einfache Frage und kein Anlass einer Diskussion über technische Details.
Ob es ein reines PHP-Umfeld ist, hab ich nicht ermittelt.

 

[Wikipediot]

...was genau sollte eine log-Bibo für Java in einem Php-Umfeld Deiner Meinung nach genau tun?

Er fragt vielleicht deswegen allgemein "Server".

 

[fahe]

...auch ich stellte eine einfache Frage.
Wer sich einen derartigen Nickname gibt, sollte da vielleicht etwas gelassener reagieren...

Nöh, er fragte nach der Betroffenheit des Forumsbetreibers. Und erzählte von seiner eigenen Infrastruktur.

 

[netsupervisor]

Eine Missinterpretation, was meine Freizeit betrifft reagiere ich meistens gelassen.
Ich dachte ich bekomme auf eine freundliche Frage, eine freundliche Antwort und nicht Sarkasmus kombiniert mit Interpretationslücken "...".

 

[Time_to_wonder]

...auch ich stellte eine einfache Frage.
Wer sich einen derartigen Nickname gibt, sollte da vielleicht etwas gelassener reagieren...

Nöh, er fragte nach der Betroffenheit des Forumsbetreibers. Und erzählte von seiner eigenen Infrastruktur.

Locker bleiben, bitte...

 

[fahe]

...ach, ich bin doch locker wie die rauschende Linde "...in seiner bodellosen Lodenhose hingen seine **** lose..."



Das Thema ist ja auch durch.

Aber wenn ich fragen würde, warum ich mit meiner Kataba so schlecht Nägel einschlagen kann, würde ich mir doch auch die Frage gefallen lassen müssen, was zum Teufel die Japansäge dabei soll. Also, zumindest wenn ich hier mit dem Nickname "Kataba-Freak" unterwegs wäre...

 

[werists]

...was genau sollte eine log-Bibo für Java in einem Php-Umfeld Deiner Meinung nach genau tun?

Auf den ComputerBase-Servern kommen Java und log4j ausschließlich für das Such-Backend Elasticsearch zum Einsatz, welches sowohl das CMS als auch die Forumsoftware XenForo nutzen

. (Quelle: https://www.computerbase.de/2021-12/log4shell-sicherheitsluecke-in-log4j-fuer-java-haelt-die-it-welt-in-atem/)


https://github.com/cadox8/XenAPI

This is a simple XenForo API for Java.

Auch im Umfeld einer PHP-Forensoftware kann Java im Einsatz sein. Deshalb ist seine Frage/Hinweis mehr als berechtigt.
Wer für die IT-Sicherheit zuständig ist und solche Hinweise einfach abbügelt ist wohl fehl am Platz.

 

[WinfriedM]

Ich denke auch, die Frage ist mehr als berechtigt, weil keiner weiß, was hier im Hintergrund alles läuft.

 

[werists]

Ich denke auch, die Frage ist mehr als berechtigt, weil keiner weiß, was hier im Hintergrund alles läuft.

Auch der Hersteller der Foren Software findet es wichtig genug um sich mit dem dem Fall zu beschäftigen:

but this is potentially significant enough that an abundance of caution is sensible.

https://xenforo.com/community/threa...icsearch-5-via-apache-log4j-log4shell.201145/

 

[netsupervisor]

Tut mir leid, ich werde in der Sache nichts mehr schreiben, bis auf das was folgt. Dass ich mich erklären muss - wo doch jeder selbst Suchmaschinen verwenden kann - ist für mich eine Passiverklärung für dieses Thema. Ich wollte nur einen vielleicht noch nicht bekannten Hinweis geben, dafür muss ich dann mich rechtfertigen und als potentiell dummer Fragesteller behandeln lassen. Dank an die, die noch Lust hatten dazu weitere Infos zu geben.

@fahe: du musst nicht glauben, dass es reine JAVA Server Anwendungen betrifft. Selbst Komponenten wie Jasper, bea Clients usw. sind hiervon betroffen, das sind reine Client-Software-Komponenten. Dass du mich seitwärts über meine Nickname in eine Schublade steckst, find ich persönlich nicht angebracht. Offensichtlich hast du das Glück dich mit diesen Themen nicht beschäftigen zu müssen. Es sei erwähnt, dass ich nur IT Admin meiner eigenen Server-Umgebung bin und das nicht hauptberuflich. Dass es bei Themen nicht immer persönliche Diskussionen geben muss, versteh ich ehrlich gesagt nicht so ganz.

 

[KalterBach]

Ich denke auch, die Frage ist mehr als berechtigt, weil keiner weiß, was hier im Hintergrund alles läuft.

Das kann man rausfinden, wenn man denn möchte. Bspw. hier. Was auf der Serverseite alles passiert, vor allem wenn mehr als nur ein Nutzer auf einem Server, wissen die Götter Administratoren des selbigen.

Der öffentliche „Rest“ steht im Impressum und in den zugestimmt Nutzungsbedingungen.

Noch ein gut gemeinter Hinweis. Spätestens in den Weihnachtsferien sollten sich angemeldete Benutzer mal darüber Gedanken machen, ob die Mehrfachverwendung von E-Mail-Adressen oder Passwörtern eine gute Idee ist.

 

[fahe]

...vielleicht einfach mal etwas runterkühlen und ganz nach oben scrollen. Ich bemühe mich auch...

Am Anfang stand eine vielleicht etwas spitz formulierte, aber doch ganz normale Frage, wo in diesem Umfeld eine Javaanwendung eine Rolle spielen könnte.

Spitz formuliert war die nicht einmal unbedingt wegen des Threaderstellers, sondern, weil ich das mediale Gerassel zum Thema am Wochenende schon etwas befremdlich fand.

Klar ist eine vom Nist derart eingestufte Vulnerabilität nicht alltäglich, aber auch kein Grund, dass jeder Volontär einer jeden Publikation, angefeuert von Agenturmeldungen, sich berufen fühlen müsste, den sofortigen Weltuntergang zu apostrophieren.

Was ein rein Php-basiertes closed-source-Forum mit einem Logger für Java anfangen sollte, hat mich schlicht interessiert.

Inzwischen hat ja @werists ausgegraben, dass es eine kostenpflichtige Erweiterung gibt, die Elastic als Suchtechnologie nutzt... und Elastic hat ja tatsächlich den Appachelogger in der Javaversion in Gebrauch. Auf Elastic als Suchtechnologie für ein php-/mysql-basiertes Forum kommt man wahrscheinlich, weil die dahinterliegende Datenbank halt so ist, wie sie ist und erst mit der aktuellsten Version halbwegs Anschluß sucht an die Volltextmöglichkeiten anderer Systeme.

Ob XenForo wirklich mehr oder weniger versierte Nutzer dazu verleitet, auf dem gleichen - evtl. ja sogar nur shared - Webspace einen zusätzlichen Serverprozess für Elasticsearch hochzuziehen, kann ich nicht einschätzen, würde mich aber wirklich interessieren. Aus eigener Anschauung kenne ich das nur in anderen Dimensionen.

 

[irrlicht]

Inzwischen hat ja @werists ausgegraben, dass es eine kostenpflichtige Erweiterung gibt, die Elastic als Suchtechnologie nutzt... und Elastic hat ja tatsächlich den Appachelogger in der Javaversion in Gebrauch. Auf Elastic als Suchtechnologie für ein php-/mysql-basiertes Forum kommt man wahrscheinlich, weil die dahinterliegende Datenbank halt so ist, wie sie ist und erst mit der aktuellsten Version halbwegs Anschluß sucht an die Volltextmöglichkeiten anderer Systeme.

Nicht wenige php-basierte Content Management Systeme nutzen das freie Solr als Suchmaschine und sind demnach auch betroffen und zwar noch viel drastischer, da das Solr-Paket nicht mit dem CMS geupdatet wird - da laufen teilweise 5 Jahre alte Versionen im Hintergrund und oftmals (meistens) so falsch konfiguriert, dass sie auch von extern zu triggern sind, was voellig unnoetig ist.

 

[Astlochfräser]

Ich bin sichtlich erstaunt, wieviele IT-Experten es hier gibt.

Log4 (j, c, php, ....) ist eine Laufzeit-Bibliothek um Warnungen und Fehlermeldungen ressourcenschonend zu protokollieren, und findet eigentlich nur Einsatz auf Plattformen die aufgrund von Nutzeranfragen, Menge an Daten, etc. auf höchstmögliche Geschwindigkeit optimiert sind.

Man muss nicht Netsupervisor sein, um festzustellen, daß die Einbindung einer derartigen Bibliothek einen erheblichen Mehraufwand an Implementation, Wartung und Analyse erfordern würde, als daß es die Zugriffe und Anzahl der Postings auf woodworker.de gerechtfertigen würde. Bei Twitter sieht das ganze natürlich anders aus.

Forumsoftware ist Datenbank orientiert und -lastig - Fehler treten in der Regel nicht in der Anwendung sondern in der Datenbank auf, und werden dort protokolliert.

Laut einer Fehermeldung die ich mal bekam, müsste das Forum PHP und MariaDB/MySQL basiert sein, die PHP-Schnittstellen zu MariaDB/MySQL bieten per se keine log4 Unterstützung an, die Datenbanken MariaDB/MySQL ebensowenig.

 

[werists]

Log4 (j, c, php, ....) ist eine Laufzeit-Bibliothek um Warnungen und Fehlermeldungen ressourcenschonend zu protokollieren, und findet eigentlich nur Einsatz auf Plattformen die aufgrund von Nutzeranfragen, Menge an Daten, etc. auf höchstmögliche Geschwindigkeit optimiert sind.

Gaaaaanz falsch, es ist eine Library die in vielen JAVA Produkten genutzt wird, es ist ein sehr weit verbreiteter Logging Mechanismus.
Laut heise: "der wichtigste Logging-Mechanimus der Java-Welt".
Es ist wesentlich einfacher eine fertige Lib zu nehmen und nur die benötigten Teile zu nutzen als etwas eigenes zu programmieren.
Deshalb werden Libraries auch dann genutzt wenn nur ein Teil davon genutzt wird, denn das ist der Sinn und Zweck derselben, kommen deshalb oft und unerwartet auch in kleineren Projekten vor. Vermutlich selbst in einigen IOT-Geräten wie Web-Cams.
"Not Even the Smart Thermostat is Safe" (https://www.agilicus.com/log4shell-not-even-the-smart-thermostat-is-safe/)

Die Einbindung von ElasticSearch wird vom Hersteller der Forensoftware als Option angeboten, ist somit nicht ungewöhnlich.
Es war auch nur ein Beispiel (weil der Hersteller in seinem Forum eine Announcement dazu hat) es gibt noch viele andere Möglichkeiten.
Analyse, Monitoring und Verwaltungstools in Java sind nicht ungewöhnlich.

Das was Du aus einer Fehlermeldung ersehen kannst und was man mit speziellen Tools (z.Bsp. der Sammlung Kali-Linux) erforschen kann, dazwischen liegen Welten.

 

[WinfriedM]

Was man vermutlich sagen kann: Java ist recht unüblich bei Webspace Anbietern und auch bei den gängigen Web-Anwendungen, die sich überall installieren lassen. Da wird meist der minimale Standard aus PHP+Mysql eingehalten. Oft geht auch Perl, Ruby oder Python, aber Java ist selten.

 

[Wikipediot]

Frage des TE war gerechtfertigt.
Was danach folgte, sagt mehr über die Poster selber aus als über den TE oder seine Kompetenzen.

 

[netsupervisor]

Ich wollte ja eigentlich nichts mehr dazu beitragen, aber wiederum geht es um mich persönlich offenbar:
Die Dimension ist nicht der Unterordner des Forums, sondern der Host. Was sonst noch auf dem Server/VM/Webspace an Programmen rumgaukelt, das JAVA und den Logger einsetzt, weiß ich nicht. Wenn ihr wisst, ob dort irgendwelche Anwendungen wie Apache Tomcat rumgaukeln, dann legt es offen, dann können wir das ja begraben und das Thema schließen lassen. Und wenn ich nochmals irgendwelche Schubladen-Anspielungen zu meinem Nickname lese, lass ich ändern oder setze ihn passiv. Deswegen stand da schon immer "Server".

 

[pedder]

Ich verstehe de Sorge. Aber wenn ich bei sowas ein Antwort wollte, fragte ich den Fortenbetreiber bestimmt nicht öffentlich.

 

[netsupervisor]

@pedder: Natürlich, da hast du recht. Wenn man den Verlauf dieser Diskussion betrachtet, wäre dies sicherlich der bessere Weg gewesen. Nichtsdestoweniger wäre eine Antwort auf eine öffentliche Frage auch direkt an mich möglich.

 

[irrlicht]

Ich verstehe de Sorge. Aber wenn ich bei sowas ein Antwort wollte, fragte ich den Fortenbetreiber bestimmt nicht öffentlich.

Da der Forenbetrieber vermutlich hier mitliest koennte er sich mal um Port 3307 kuemmern, ich vermute, dass es nicht notwendig ist MySQL auf's externe Interface zu binden.

 

[pedder]

Das halte ich für eine gewagte Vermutung, der hat ja auch einen Beruf.
Wenn man solche Analysen erstellen kann, findet man doch bestimmt auch raus, wie eine PN funktioniert?

 

[fahe]

Keine Ahnung, warum hier jetzt ergoogelte Quellen, gefühlte Hostingumgebungen und was-weiß-ich-noch-sonst-so-kommen-wird ein buntes Potpourri bilden.

Natürlich benutzt man Logger, weil sie einem eine aufwendige eigene und im Zweifelsfall fehleranfällige Implementierung ersparen. Und weil diese auf Performance getrimmt sind. Und weil sie in der Auswahl der Logging-Targets die komplette Klaviatiur bespielen. Und weil sie - meist - extrem flexibel konfigurierbar sind. Und weil der Anbieter die - in der Regel/hoffentlich - konsequent weiterpflegt. Und... und... und...

Ich habe früher oft Log4net genutzt. Das stammt letztlich aus der gleichen Familie, nachdem aus dem Appache-Logger eine ganze Armada für verschiedene Sprachen und Frameworks entstanden sind, die teilweise von der Appache Foundation selbst oder anderen gepflegt werden. Inzwischen benutzen wir lieber NLog, was aber eher eine Geschmacklichkeit wegen seiner Flexibilität ist.

Warum ich die Frage nach dem Einsatz einer Java-Bibo in einem reinen Php-Umfeld für fragenswert hielt, habe ich schon geschrieben.

Es ist ja nun aber geklärt, dass offenbar manche Anbieter von Php-Applikationen auf Elastic, Solr oder Lucene setzen, die ihrerseits evtl./wahrscheinlich/whatever auch Log4J nutzen.

Alle drei verwandten Suchtechnologien werden von der jeweiligen Php-Applikation via http(s) über deren Api angesprochen, haben also bspw. mit der hinter der Php-Applikation liegenden whatever-Sql-Datenbank - in der sich dann auch Eure hoffentlich vernünftig gehashten Passwörter finden - nicht wirklich Kontakt. Natürlich kann man einen Server damit kompromittieren, wenn man das auf einer Kiste parallel laufen lässt.

In professionellen Umgebungen würde man Elastic oder seine Brüder eher in einen orchstrierten Zoo von Containern oder vergleichbarer Technologie stecken. Und auch sonst würde man... ach, das führt zu weit.

@michael wird wissen, ob er die kostenpflichtige XenForo-"Sucherweiterung" hier laufen hat..