log4j

by H-1, Tuesday, December 14, 2021, 11:01 (1075 days ago)

Hallo Michael,

aus aktuellem Anlass...ist JAG3D irgendwie davon betroffen?

Grüße

H1

locked
1412 views

log4j

by Micha ⌂, Bad Vilbel, Tuesday, December 14, 2021, 12:01 (1075 days ago) @ H-1

Hallo H-1

aus aktuellem Anlass...ist JAG3D irgendwie davon betroffen?

Nein, JAG3D ist hiervon nicht betroffen. Zum einen wird die Bibliothek zum Loggen, log4j, nicht verwendet, siehe hierzu das lib-Verzeichnis von JAG3D (welches keine JAR mit dem Namen enthält). Zum anderen sind, soweit ich das verstehe, ausschließlich Applikationen betroffen, die eine Kommunikation mit dem Internet benötigen und bspw. eine HTTP-Verbindung zu einem Server aufbauen. JAG3D kommuniziert nicht mit einem externen Dienst über das Internet sondern ist eine Standaloneanwendung, die vollständig ohne eine Internetverbindung auskommt, siehe hierzu bspw. den Bericht bei Heise, Ein Angreifer kann die Sicherheitslücke ausnutzen, indem er manipulierte Anfragen an einen verwundbaren Server oder eine angreifbare Anwendung schickt. Beide Szenarien kann ich für JAG3D nicht erkennen.

Viele Grüße
Micha

--
applied-geodesy.org - OpenSource Least-Squares Adjustment Software for Geodetic Sciences

Tags:
Sicherheit, Log4j, Log4Shell

locked
1377 views

log4j - Ergänzung und potenzielle Maßnahmen gemäß BSI

by Micha ⌂, Bad Vilbel, Tuesday, December 14, 2021, 05:19 (1075 days ago) @ Micha

Hallo,

der Empfehlung des BSI folgend, kann durch das zusätzliches JVM Argument

-Dlog4j2.formatMsgNoLookups=True

die Lücke geschlossen werden. Da log4j nicht verwendet wird, entsteht grundsätzlich kein Nachteil, wenn Du dieser Empfehlung folgen möchtest. Um dieses Zusatzargument zu setzen, öffne bitte die Datei jag3d.l4j.ini mit einem beliebigen Texteditor. Dort kannst Du die Zeile einfach ergänzen, sodass der modifizierte Inhalt dann wie folgt aussieht:

-splash:resources/splash/JAG3D_255x255_splash.gif
-Xms200m 
-Xmx500m 
-Dlog4j2.formatMsgNoLookups=True

Die erste Zeile erzeugt den Splash-Screen, die beiden folgenden Zeilen reservieren 200 MB bzw. 500 MB Hautspeicher, und die vierte Zeile entspricht der Empfehlung des BSI. Alle Argumente, die dort aufgelistet sind, werden beim Starten der Applikation über die exe-Datei an die JVM delegiert. Wenn es Dir lieber ist, kann ich auch eine offizielle Version mit dieser Änderung zur Verfügung stellen.

Viele Grüße
Micha

--
applied-geodesy.org - OpenSource Least-Squares Adjustment Software for Geodetic Sciences

Tags:
JAG3D, Java, log4j, ini, formatMsgNoLookups, BSI, Launch4J

locked
1422 views

log4j - Ergänzung und potenzielle Maßnahmen gemäß BSI

by H-1, Wednesday, December 15, 2021, 01:31 (1074 days ago) @ Micha

Danke für die Hinweise. Ich gebe das dann so an unsere EDV weiter falls da Fragen aufkommen sollten. Ein Versionsupdate erscheint mir unnötig.

Grüße

H.

locked
1329 views

RSS Feed of thread