You are not logged in.

Announcement

*** NOTICE: forum.openstreetmap.org is being retired. Please request a category for your community in the new ones as soon as possible using this process, which will allow you to propose your community moderators.
Please create new topics on the new site at community.openstreetmap.org. We expect the migration of data will take a few weeks, you can follow its progress here.***

Pages: 1

#1 2021-12-13 11:17:38

PT-53
Member
From: Oberschwaben (BW, DE)
Registered: 2013-09-01
Posts: 1,894

Log4j im Ordner C:Benutzer\OSM\AppData\Roaming\JOSM\plugins

Durch ein Hinweis auf der Internetseite der Schwäbischen Zeitung von heute auf eine gefährliche Sicherheitslücke in Software mußte ich feststellen, daß die genannte Java-Bibliothek Log4j  auch auf meinem Rechner in o.g. Ordner vorhanden ist.
Was nun tun?
JOSM vorerst nicht mehr nutzen?

Nein zu: In OSM wird alles, wirklich alles was sichtbar ist, und wenn es Schrott ist, eingezeichnet.
Ja zu: In OSM sollte nur das was sichtbar und sinnvoll ist eingetragen werden.

Offline

#2 2021-12-13 11:24:49

streckenkundler
Member
From: Lübben (Spreewald)
Registered: 2012-08-09
Posts: 5,164
Website

Re: Log4j im Ordner C:Benutzer\OSM\AppData\Roaming\JOSM\plugins

Es ist die Frage, ob die Version überhaupt betroffen ist,

vgl. Heise...

Sven

Offline

#3 2021-12-13 11:30:49

SimonPoole
Member
Registered: 2010-03-14
Posts: 2,195

Re: Log4j im Ordner C:Benutzer\OSM\AppData\Roaming\JOSM\plugins

Also siehe https://josm.openstreetmap.de/ticket/21657 sprich Upgraden ist die Lösung.

Die Tatsache das die Bibliothek verwendet wird, sagt aber per se nicht sehr viel darüber aus ob man tatsächlich betroffen ist, es ist ein weites Feld und hängt halt davon ab ob Userinput in irgendeiner Form geloggt wird (dies könnte auch durch den Inhalt irgendeines OSM Tags ausgelöst werden).

Last edited by SimonPoole (2021-12-13 11:34:42)

Offline

#4 2021-12-13 11:31:44

FraukeLeo
Member
Registered: 2020-08-03
Posts: 881

Re: Log4j im Ordner C:Benutzer\OSM\AppData\Roaming\JOSM\plugins

https://www.heise.de/forum/heise-online … 6583/show/ lesen und durchatmen.

Last edited by FraukeLeo (2021-12-13 12:14:52)

Offline

#5 2021-12-13 11:40:04

SimonPoole
Member
Registered: 2010-03-14
Posts: 2,195

Re: Log4j im Ordner C:Benutzer\OSM\AppData\Roaming\JOSM\plugins

FraukeLeo wrote:

Lieber nicht (durchatmen).

Das Feature funktioniert durchaus noch mit den aktuellen JRE Versionen (einfach nicht mehr so trivial), und der typischer Anwender von JOSM wird das auch nicht in einem isolierten Netz tun (in dem JOSM gar nicht funktionieren würde) ist also prinzipiell nicht geschützt. Man muss deswegen nicht in Panik verfallen, aber ein zügiges Updaten ist wohl sinnvoll, und vor allem sollte man dann alte JOSM Versionen endgültig entsorgen da der Natur nach das Feature sich auch in 10 Jahren wird ausnützen lassen.

Last edited by SimonPoole (2021-12-13 11:43:37)

Offline

#6 2021-12-13 12:15:20

FraukeLeo
Member
Registered: 2020-08-03
Posts: 881

Re: Log4j im Ordner C:Benutzer\OSM\AppData\Roaming\JOSM\plugins

SimonPoole wrote:

Das Feature funktioniert durchaus noch mit den aktuellen JRE Versionen

Hast recht, das wurde heute morgen dementiert.

Offline

#7 2021-12-13 12:17:57

mmd
Member
Registered: 2010-11-06
Posts: 2,150

Re: Log4j im Ordner C:Benutzer\OSM\AppData\Roaming\JOSM\plugins

Aus dem verlinkten Ticket: es sieht so aus, als ob log4j nur dann installiert wird, wenn mindestens auch eines von 4 Plugins installiert wurde. Das wären da: areaselector, routing, ImportImagePlugin sowie kendzi3d.

Bedeutet das dann umgekehert, wenn in meiner Plugin-Liste kein Häkchen neben "log4j" gesetzt ist, sollte auch kein log4j zum Einsatz kommen?

Also für RemoteControl konnte ich schon mal keinen Effekt sehen, obwohl da der Querystring munter rausprotokoliiert wird.

Last edited by mmd (2021-12-13 12:54:08)

Offline

#8 2021-12-13 12:21:55

SimonPoole
Member
Registered: 2010-03-14
Posts: 2,195

Re: Log4j im Ordner C:Benutzer\OSM\AppData\Roaming\JOSM\plugins

mmd wrote:

....

Bedeutet das dann umgekehert, wenn in meiner Plugin-Liste kein Häkchen neben "log4j" gesetzt ist, sollte auch kein log4j zum Einsatz kommen?
...

IMHO ja (siehe https://josm.openstreetmap.de/attachmen … 1657.patch ).

Last edited by SimonPoole (2021-12-13 12:23:31)

Offline

#9 2021-12-13 12:57:00

FraukeLeo
Member
Registered: 2020-08-03
Posts: 881

Re: Log4j im Ordner C:Benutzer\OSM\AppData\Roaming\JOSM\plugins

mmd wrote:

Bedeutet das dann umgekehert, wenn in meiner Plugin-Liste kein Häkchen neben "log4j" gesetzt ist, sollte auch kein log4j zum Einsatz kommen?

In JOSM nicht, korrekt. Das wird nur als zusätzliche Erweiterung eingebunden, wenn eine der aufgezählten anderen Erweiterungen es anfordert.
Ob du neben JOSM noch woanders Software laufen hast, die log4j nutzt, ist damit natürlich nicht ausgeschlossen smile

Offline

#10 2021-12-13 13:05:41

mmd
Member
Registered: 2010-11-06
Posts: 2,150

Re: Log4j im Ordner C:Benutzer\OSM\AppData\Roaming\JOSM\plugins

Klar, in diesem Faden geht's nur um JOSM. Der Plugin-Manager in JOSM ist ja nicht zuständig für irgendwas, was ausserhalb von JOSM passiert.

Offline

#11 2021-12-13 13:14:42

streckenkundler
Member
From: Lübben (Spreewald)
Registered: 2012-08-09
Posts: 5,164
Website

Re: Log4j im Ordner C:Benutzer\OSM\AppData\Roaming\JOSM\plugins

SimonPoole wrote:
mmd wrote:

....

Bedeutet das dann umgekehert, wenn in meiner Plugin-Liste kein Häkchen neben "log4j" gesetzt ist, sollte auch kein log4j zum Einsatz kommen?
...

IMHO ja (siehe https://josm.openstreetmap.de/attachmen … 1657.patch ).

demnach von 2.14.1 auf 2.15.0 geändert, lese ich das richtig?

Heise schreibt:

Wer Zugang zum System hat, auf dem ein Dienst läuft, kann dort nach verwundbaren Instanzen der Log4J-Bibliothek suchen. Das ist nicht trivial, da diese typischerweise in den Java-typischen JAR-Archiven stecken. Der log4j-detector durchsucht diese und meldet anfällige Versionen von Log4J 2.x (2.0-beta9 bis 2.14.1). Die Version 2.15.0 ist bereits gefixt und 1.2.x ist nicht betroffen.

Hervorhebung von mir.

Ab welcher JOSM-Version gilt das?

Sven

Offline

#12 2021-12-13 13:20:47

mmd
Member
Registered: 2010-11-06
Posts: 2,150

Re: Log4j im Ordner C:Benutzer\OSM\AppData\Roaming\JOSM\plugins

Es gibt stand heute noch keine JOSM Version, in der dieser Patch drin ist. Also am besten mal die Plugins auf "log4j" hin prüfen und ggfs. dieses Plugin deinstallieren. Ich denke, dass das bei den allermeisten Usern eh nicht aktiv ist.

Last edited by mmd (2021-12-13 13:21:26)

Offline

#13 2021-12-13 22:14:59

skyper
Member
Registered: 2020-06-08
Posts: 687

Re: Log4j im Ordner C:Benutzer\OSM\AppData\Roaming\JOSM\plugins

Das Ticket ist mittlerweile "gefixt" und eine neue Version (35874) der Erweiterung vorhanden.
Also aktualisiert Eure Erweiterungen. smile

Offline

#14 2021-12-13 23:25:08

FraukeLeo
Member
Registered: 2020-08-03
Posts: 881

Re: Log4j im Ordner C:Benutzer\OSM\AppData\Roaming\JOSM\plugins

skyper wrote:

Also aktualisiert Eure Erweiterungen.

Genau. JOSM selbst hat das Ding gar nicht im Bauch, es ist eine Erweiterung, die nur dann mitinstalliert wird, wenn eine andere Erweiterung es braucht. Deswegen kommt es auf die JOSM-Version nicht an.

Offline

#15 2021-12-14 00:29:33

MKnight
Member
Registered: 2012-08-01
Posts: 2,406

Re: Log4j im Ordner C:Benutzer\OSM\AppData\Roaming\JOSM\plugins

mmd wrote:

Aus dem verlinkten Ticket: es sieht so aus, als ob log4j nur dann installiert wird, wenn mindestens auch eines von 4 Plugins installiert wurde. Das wären da: areaselector, routing, ImportImagePlugin sowie kendzi3d.

Ich habe keins der Plugins aktiv installiert, aber: kendzi vor längerer Zeit mal genutzt und wegen Performance wieder weggeworfen.
log4j bleibt dann übrig. Nur zur Info.

eines von 4 Plugins installiert wurde

heisst: wenn man eins *irgendwann* mal installiert hatte, dann hatte man bis gestern die Lücke in JOSM

gesammelte Overpass-abfragen zu QA (hauptsächlich Strassenfehler) + verschiedene Stats zu Strassen-eigenschaften

Offline

#16 2021-12-14 06:31:57

SammysHP
Member
From: Celle, Germany
Registered: 2012-02-27
Posts: 1,707
Website

Re: Log4j im Ordner C:Benutzer\OSM\AppData\Roaming\JOSM\plugins

MKnight wrote:

heisst: wenn man eins *irgendwann* mal installiert hatte, dann hatte man bis gestern die Lücke in JOSM

Nicht wirklich, weil es nichts gab, um etwas zu loggen. Somit erst recht keine unkontrollierten Daten und somit bestand auch kein Risiko.

Offline

#17 2021-12-14 08:14:01

FraukeLeo
Member
Registered: 2020-08-03
Posts: 881

Re: Log4j im Ordner C:Benutzer\OSM\AppData\Roaming\JOSM\plugins

MKnight wrote:

heisst: wenn man eins *irgendwann* mal installiert hatte, dann hatte man bis gestern die Lücke in JOSM

Man hatte sie nicht "in JOSM", sondern in einer Bibliothek, die im JOSM-Ordner rumlag und von nichts und niemandem mehr genutzt wurde. Dann ging von der Lücke keine Gefahr aus. So wie kaputte Bremsen am Auto dich nicht gefährlicher machen, solange du es in der Garage stehen lässt smile

Log4j ist ja kein Virus, das sich selbst in alle möglichen Ecken des System kopiert, sondern eine durchaus gute Software mit, wie sich jetzt gezeigt hat, einem Konstruktionsfehler.

Offline

#18 2021-12-14 12:25:18

streckenkundler
Member
From: Lübben (Spreewald)
Registered: 2012-08-09
Posts: 5,164
Website

Re: Log4j im Ordner C:Benutzer\OSM\AppData\Roaming\JOSM\plugins

SimonPoole wrote:

Es gibt jetzt bereits eine Version 2.16.0

Siehe hier: https://www.heise.de/news/Log4j-2-16-0- … ag.beitrag

Sven

Offline

Pages: 1

Board footer

Powered by FluxBB