allesnurgecloud.com ist ein kuratierter Newsletter mit Inhalten aus der Open-Source, Cloud und IT-Welt.
Für weiteren Content folge mir gerne auf Twitter, Mastodon oder LinkedIn.
Möchtest du den Newsletter wöchentlich per E-Mail erhalten?
Einfach hier abonnieren:
Log4Shell hält Internet auf Trab – CVE-2021-44228
Log4Shell (CVE-2021-44228) ist eine Zero-day Remote Code Execution Lücke in der sehr populären Java Logging Library Log4j in der Version 2.0-beta-9 bis 2.14.1 – Version 1 von log4j ist hiervon nicht betroffen, hat aber ganz andere Probleme. Angreifer können über die Lücke beliebigen Code ausführen. In der Nacht von Donnerstag auf Freitag machten erste Proof-of-Concepts auf Twitter und GitHub die Runde, um Minecraft Server zu übernehmen,.
Kurze Zeit später wurde klar, dass die Lücke sehr viel mehr Applikationen betrifft. Neben Apple (iCloud), Twitter, Steam, Amazon, Tesla, Cloudflare und Ubiquiti sind sämtliche Applikationen betroffen, die log4j als Logging Bibliothek verwenden und der Code nicht entsprechend abgefangen wird. Eine unvollständige Übersicht findet ihr hier auf Github – wird laufend aktualisiert.
Mittlerweile hat das Apache Projekt eine log4j Version 2.15.0 veröffentlicht, welche umgehend eingesetzt werden sollte.
Ihr könnt die RCE wie folgt mitigieren:
- Upgrade auf log4j v2.15.0
- Nutzer von log4j größer v2.10 können die Property
log4j2.formatMsgNoLookups=true
setzen - die
JndiLookup
Klasse aus dem Classpath entfernen, beispielsweise so:zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
Die Lücke selbst wird derzeit aktiv ausgenutzt, Angriffe kommen vor allem aus dem TOR Netzwerk – insights hierfür findet ihr auf Twitter oder beispielsweise in diesem Cloudflare Blog Eintrag.
Auf GitHub gibt es jedoch ein Repo, welches den PoC schon im April 2021 listet – das Thema ist also mindestens 9 Monate bekannt.
Informationen aus erster Hand bekommt ihr auf Twitter bei Kevin Beaumont unter @GossiTheDog – er aktualisiert seinen log4j Thread laufend. Kevin hat auch das offizielle Log4Shell Logo in Paint „gemalt“ – toll!
Ob eure Applikation betroffen ist könnt ihr einfach via canarytokens.org testen – wie das geht wird hier erklärt.
Ist eure Page hinter Cloudflare? Alle FREE und PAID Accounts haben seit heute Nacht eine Standard Blocking Regel für Log4Shell aktiv. Hängt ihr hinter Fastly? Dann bitte die Regel selbst aktivieren – Infos hier.
- Das BSI hat die Einstufung der Lücke gestern Abend zu „ROT“ geändert – Meldung dazu.
- Der ursprüngliche PR dazu ist im log4j Jira öffentlich – das JNDI Feature wurde im Juli 2013 gemerged – zum Ticket LOG4J2-313
- Cloudflare hat seine Logs durchsucht – die ersten Requests zur Ausnutzung des Exploits gab es am 01.12.2021 um 04:36 UTC.
- Eine weitere, ständig aktualisierte Liste mit Security Advisories diverser Firmen findet ihr hier auf GitHub.
Update 15.12.2021:
- Nextcloud ist nicht betroffen, bzw. nur, wenn ihr Elasticsearch über „Advanced File Search“ (App für die Suche) einsetzt – hierfür gibt es einen Workaround in der Elasticsearch Version 7.16.1.
Changelog von Nextcloud findet ihr hier: https://nextcloud.com/changelog/#latest23 - eine sehr gute und ausführliche Liste mit betroffenen Systemen findet ihr beim holländischen Cyber Security Zentrum auf GitHub.
- Elasticsearch: Betroffene Versionen, Workarounds & Upgrades findet hier bei Philipp im Blog.
Wichtige Anmerkung: Log4J ist ein Open Source Projekt, die Entwickler arbeiten in ihrer Freizeit am Projekt, das Funding ist überschaubar gering. Bitte überzeugt eure Firma und eurer Management, Open Source mit Sponsorships zu unterstützten – via GitHub Sponsors, direkt bei den Projekten oder in jeglicher für eure Firma akzeptablen Variante.
Kritische Zero-Day-Lücke in Log4j gefährdet zahlreiche Server und Apps
AWS Ausfall in US-EAST-1
Die AWS Region US-EAST-1 war am 7. Dezember für längere Zeit gestört. Warum ist das erwähnenswert?
2 Wochen zuvor in Ausgabe 44 ging ich kurz auf die Unterschiede zwischen AWS und Google ein. AWS hat eigentlich keine globale Control Plane – „Eigentlich“ gibt es nicht. Ja was denn nu?
Die älteste AWS Region in North Virginia beherbergt diverse zentralen Dienste und die „regionale“ Störung hatte somit weltweite Auswirkungen. Beispielsweise werden SSL Zertifikate für Cloudfront von US-EAST-1 aus provisioniert, diverse AWS Dienste benötigen Backend Dienste aus US-EAST-1, um funktional zu sein.
In Deutschland ging beispielsweise der Download von Kindle Büchern und Dokumenten nicht – schöner Schneeballeffekt, nicht wahr?
AWS ist mit der Störung sehr transparent und die Details sind interessant.
Man verwendet ein eigenes Management Netzwerk – hier hat man wohl von OnPremise gelernt. Dieses Netzwerk war allerdings gestört, Management und Monitoring Aktivitäten der OPs Teams waren nicht mehr möglich und die Control Planes diverser Services funktionierten nicht mehr oder nur noch stark eingeschränkt.
Man konnte keine neue VM mehr starten – laufende VMs waren nicht. mehr betroffen. Solch ein Fehler hat Einfluss auf diverse, abhängige Dienste und in diesem Fall eine kleine Lawine ausgelöst.
Am Ende konnten Kunden von AWS, wie beispielsweise die Elastic Cloud, ihre Kunden aufgrund von fehlenden Skalierungsmöglichkeiten nicht mehr bedienen und es kam Internet weit zu diversen Störungen.
The impairment to our monitoring systems delayed our understanding of this event, and the networking congestion impaired our Service Health Dashboard tooling from appropriately failing over to our standby region.
Ein echter Klassiker, den wir in der Form immer wieder erleben werden. Man konnte übrigens auch keine Support Cases mehr erstellen, da diese ebenfalls auf das „Internal Network“ angewiesen sind.
Es kochen eben alle nur mit Wasser.
AWS wobbles in US East region causing widespread outages
Anzeige
Hier könnte Deine Werbung stehen
Du möchtest deine Firma, angebotene Dienstleistungen & Services, dein SaaS Produkt gerne hier im Newsletter vorstellen?
Oder eine Job Anzeige schalten?
Erreiche über 300 IT Geeks, Manager und Cloud Enthusiasten direkt per E-Mai
Antworte mir einfach auf diesen Newsletter – danke.
Microsoft: Kartellbeschwerde von Nextcloud
Die deutsche Firma Nextcloud hat beim Bundeskartellamt Beschwerde gegen Microsoft eingereicht.
Nextcloud ist eine open source basierte, alternative Lösung zu Office365 und Dropbox und ermöglicht euch File Sharing analog OneDrive, Kalender, Kontakte, E-Mail und weitere Kollaborationsmöglichkeiten analog den Microsoft Produkten.
Nextcloud argumentiert damit, dass die tiefe Integration in die Microsoft Betriebsystemwelt wettbewerbsverzerrend sei.
Wir erinnern uns an das Jahr 2009 – hier wurde die Bündelung und Integration des Internet Explorers mit Microsoft Windows durch Opera moniert und von der EU geregelt.
Ob es beim Thema Nextcloud ähnlich ausgeht?
Nextcloud reicht Kartellbeschwerde gegen Microsoft ein
CentOS 8 ist Ende 2021 EOL – Alternativen
CentOS 8 ist nach knapp 2 Jahren schon EOL – zum 31.12.2021. CentOS 8 wird als CentOS 8 Stream als „Rolling Release“ bleiben und am 31.05.2024 EOL sein. Um die Verwirrung komplett zu machen: CentOS Linux 7 ist erst am 30.6.2024 EOL.
Und was machen wir nun?
Kris schieb hierzu Ende 2020 einen ausführlichen Artikel und ist ganz klar „PRO“ CentOS Stream (Embracing the Stream).
Am Ende hat er „Enterprise“ Argumente ergänzt, die wir alle sicher schon mal gehört haben.
Was gibt es für Alternativen, falls man nicht auf den „Stream“ aufspringen möchte?
Wie sieht es bei euch aus?
CentOS Linux 8 will end in 2021 and shifts focus to CentOS Stream
SUSE: Kostenloser Cloud Native Fundamentals Kurs
Suse hat auf Udacity einen kostenlosen „Cloud Native Fundamentals“ Kurs veröffentlicht. Der Kurs beinhaltet folgende Module:
- Cloud Native Ökosystem kennenlernen
- Architektur Abwägungen im Cloud Native Landscape – Monolith vs. microservices, etc.
- Container Orchestrierung mit Kubernetes (Anhand k3s, etc.)
- Open Source PaaS mit Cloud Foundry
- CI/CD mit Clout Native Tools (GitHub Actions, ArgoCD, Helm)
Der Kurs sieht auf den ersten Blick sehr umfangreich aus – Udacity veranschlagt 1 Monat dafür – vermutlich hängt das auch stark vom Vorwissen aus.
Cloud Native Fundamentals By SUSE
Kubernetes 1.23 Released
Am 7. Dezember wurde Kubernetes in Version 1.23 veröffentlicht. Der verlinkte Artikel listet alle neuen Features und Deprecations – unter diesem Link findet ihr das komplette Changelog.
Kurze Übersicht:
- Ephemeral Containers sind nun beta – und nicht mehr alpha
- Dual Stack Networking ist nun stable (IPv4 & IPv4)
- PodSecurity ist nun ebenfalls beta.
- Structured logging ist nun auch beta.
In diesem Blog Eintrag bei loft.sh findet ihr eine weitere Übersicht.
Kubernetes 1.23: The Next Frontier
Hetzner Online: günstiges IPv6 Only Angebot
Bei Hetzner Online werden Dedicated Server in Zukunft günstiger, wenn sie ohne IPv4 Adresse gebucht werden.
IPv6 Only Server werden also günstiger und „IPv4“ ist ein kostenpflichtiges Add-On.
Die Hetzner Cloud Instanzen können aktuell noch nicht IPv6-only gebucht werden – dies soll ab Anfang 2022 möglich sein.
Server- und Webhoster Hetzner: IPv4 als kostenpflichtige Option
Open Source bei Apple
Das Apple auf diverse Open Source Tools setzt und beispielsweise auch zu Kubernetes contributed ist schon länger bekannt.
Nun hat das Unternehmen eine eigene Open Source Landingpage und listet dort neben eigenen Projekte wie Swift, WebKit, FoundationDB und CareKit die Mitarbeit an Community Projekten wie Kubernetes, Cassandra, Solr und Spark.
Schmunzelecke
Wie sehen 45PB aus? Screenshot von Octave Klaba, CEO von OVHCloud
Log4Shell – das Meme Game ist stark mit dem Exploit:
- Military Grade Security vs. JDNI:LDAP
- Squid Game Log4j
- Multimillion Dollar Security Architecture vs. jndi:ldap
💡 Link Tipps aus der Open Source Welt
Raycast – Launcher Alternative für MacOS
Raycast ist eine schnelle und einfach erweiterbare Launcher Alternative für MacOS.
Einige von euch nutzen vielleicht bereits Alfred – dann solltet ihr euch Raycast mal anschauen. Aktuell ist es noch komplett kostenlos für den persönlichen Einsatz.
Im Raycast Store könnt ihr es einfach erweitern, beispielsweise mit Extensions für
- das Setzen des Slack Status
- Einfacher Zugriff auf GitLab Projekte, Issue und Projekt Management
- Spotify – Player
- Einfach Todoist Tasks erstellen
Raycast könnt ihr einfach mittels brew install --cask raycast
installieren.
Kubestr – Kubernetes Storage Tool
Kubestr ist ein einfaches Tool, um euch
- Mögliche Storage Optionen eures Kubernetes Clusters anzuzeigen
- die konfigurierten Storages auf Plausibilität zu validieren
- Benchmarks gegen die Storages auszuführen (mit FIO beispielsweise)
- die Inhalte eines PerstistentVolumeClaims in einem „Text“ File-Browser anzuschauen
ein kurzes How-to Video findet ihr hier auf GitHub.
https://github.com/kastenhq/kubestr/
mackup – App Einstellungen syncen
Ok, ist ein first-world problem, vielleicht hilft es doch einigen unter euch:
Mit Mackup könnt ihr Einstellungen Eurer macOS Applikationen über mehrere Devices syncen, wenn die Applikationen eine solche Möglichkeit selbst nicht bieten. Mackup wird von euch einmal manuell gestartet und synct die Einstellungen von über 500 Applikationen auf Dropbox, Google Drive, iCloud oder auch in Git.
Der Sync der Config funktioniert, da Mackup die .dotfiles einfach in einen Dropbox oder Google Drive Ordner verlinkt.
Installation einfach via homebrew: brew install mackup
Liste unterstützter Applikationen: mackup list
Sync aktivieren: mackup backup
Hinweis: Geht auch unter Ubuntu, nicht nur unter macOS.
❓ Feedback & Newsletter Abo
Vielen Dank, dass du es bis hierhin geschafft hast!
Kommentiere gerne oder schicke mir Inhalte, die du passend findest.
Falls dir die Inhalte gefallen haben, kannst du mir gerne auf Twitter folgen.
Gerne kannst du mir ein Bier ausgeben oder mal auf meiner Wunschliste vorbeischauen – Danke!
Möchtest du den Newsletter wöchentlich per E-Mail erhalten?
Einfach hier abonnieren: