Jan-Lukas Else

Gedanken eines IT-Experten

14.12.2021: Von Sicherheitslücken und knallenden Thermen

Veröffentlicht am in 💭 Gedanken
Kurz-Link: https://b.jlel.se/s/53c
⚠️ Dieser Eintrag ist bereits über ein Jahr alt. Er ist möglicherweise nicht mehr aktuell. Meinungen können sich geändert haben.

Kev Quirk hatte vor einiger Zeit das Motto “100 Days to Offload” ins Leben gerufen. Das Ziel der Aktion ist es ursprünglich gewesen 100 Tage am Stück jeden Tag einen Blogpost zu schreiben und zu veröffentlichen. Da das aber ein sehr hohes Ziel ist, sind es nun 100 Posts in einem Jahr.

Bei einem Blick auf die Statistik des deutschsprachigen Teils meines Blogs, zeigt sich, dass ich leicht unter dem Ziel bin, dieses Jahr sind es bisher (dieser Post nicht miteingerechnet) 92 Posts. Immerhin 314 englische Posts habe ich erstellt, von denen viele allerdings auch nur kurze “Micro”-Posts sind.

An sich zeigt das also, dass ich keine Hemmungen habe, gerne und oft auf den “Erstellen”- oder “Create”-Button zu drücken, mit dem der Text, den ich in den Blog-Editor getippt oder von Word rüber kopiert habe, öffentlich gemacht wird. Allerdings habe ich ein wenig das Gefühl, mich thematisch ein bisschen zu sehr “festgefahren” zu haben. Im Englischen beschränken sich meine Themen immer enger auf das Meta-Thema Bloggen, meine Blogsoftware und generell das Thema Internet. Im Deutschen geht es meist nur noch um Politik.

Lange Rede, kurzer Sinn: Ich will wieder mehr Abwechslung auf diesen Blog bringen und deswegen versuch ich nun mal für eine Zeit lang etwas Neues. Und zwar Tagebuch-Bloggen! Vielleicht so ähnlich, wie Christian Fischer das immer macht. Mal schauen ob meine Tage dafür überhaupt abwechslungsreich genug sind, aber wir werden sehen…

Also, was kann ich denn so von heute berichten?

Was ich gar nicht gut kann, ist lange und viel schlafen. Ich kann erst um Mitternacht schlafen gehen und wache doch schon wieder auf, wenn auf der Uhr vorne noch eine 6 steht, obwohl mein Wecker erst nach 7 klingelt. Wenn ich aber versuche, früher schlafen zu gehen, dann wache ich entweder mitten in der Nacht auf und kann eine Weile nicht wieder einschlafen oder ich wache dann morgens noch früher auf. Und das, obwohl ich mich dann nicht einmal komplett ausgeschlafen fühle.

Aber nachdem ich nach dem Aufwachen dann noch eine ganze Weile im Bett liege, die Liste an ungelesenen Artikel in meinem Newsreader (Miniflux ist da schon seit einer langen Zeit mein Tool der Wahl) abarbeite und auch den ein oder anderen SPIEGEL-Artikel lese, überwinde ich mich dann irgendwann, aus dem Bett aufzustehen, mich fertig zu machen, zu frühstücken und mich dann an die Arbeit zu setzen.

Bei der Arbeit gibt es momentan ein Thema was sehr hohe Priorität hat und von dem auch in den Nachrichten die letzten Tage zu hören war: Eine Sicherheitslücke in einer weitverbreiteten Java-Softwarebibliothek. Über diese Lücke ist es unter Umständen möglich, Code auszuführen, der nicht ausgeführt werden sollte. So etwas nennt man dann eine Zero-Day-Lücke. Wenn so etwas bekannt wird ist es jedenfalls dringend geboten, zu prüfen, ob man selbst denn eine betroffene Version verwendet und wenn ja, dann auf eine Version zu aktualisieren, bei der die Lücke nicht mehr vorhanden ist.

Nun ist uns allerdings aufgefallen, dass wir zwar keine Version verwenden, die von der aktuellen Zero-Day-Lücke betroffen ist, aber eine Version, die seit 2015, also seit über 5 Jahren, einen “End of Life”-Status hat und somit überhaupt keine Fehlerbehebungen mehr erhält. Auch Sicherheitslücken werden nicht mehr geschlossen. 2019 ist aber genau solch eine bekannt geworden, aber irgendwie wurde seitdem versäumt mal ein Upgrade zu machen.

Heute habe ich mich dann nun jedenfalls endlich einmal darum gekümmert und die paar Stellen Code, an denen wir die betroffene Bibliothek verwenden, auf die allerneuste Version zu aktualisieren. Da die neue Version nicht rückwärtskompatibel ist, musste ich auch einigen Code anpassen und beim Rollout muss dann auch die Konfiguration angepasst werden.

Nach Bekanntwerden der Lücke gab es (mal wieder) eine Diskussion im Internet, ob denn Open Source kaputt sei? Ich bin mir da aber nicht sicher, was ich von der Behauptung halten soll. Einerseits stimmt es, dass da viele Firmen eine Menge Profit mit der Arbeit Freiwilliger machen, andererseits frage ich mich, ob der Lösungsvorschlag einfach mehr Geld für Open Source-Projekte bereitzustellen, die alleinige Lösung sein kann. Schließlich sorgt nicht mehr Geld dafür, dass weniger Sicherheitslücken entstehen, sondern eher, dass mehr Leute sich den Code genauer anschauen und verhindern, dass überhaupt Sicherheitslücken gebaut werden. Eventuell wäre die beste Lösung, wenn Open Source nicht nur als Möglichkeit zur Profitmaximierung durch gesparte Arbeitszeit gesehen wird, sondern Firmen, die auf Open Source-Software setzten, auch mehr selbst zu Open Source beitragen.

Ich hatte fast Feierabend, da rief mich ein Mitarbeiter von der Heizungsfirma an und fragte, ob er kurz vorbeikommen könnte und den bestellten Zündtrafo in die Therme einbauen könnte. Wieso das? Am Freitag fiel mir auf, dass es manchmal bei der Therme zu Verpuffungen kommt. Es klingt so, als würde die Therme Gas pumpen, das Gas aber dann nicht sofort entzündet werden. Wenn es sich dann doch entzündet, dann gibt es einen lauten Knall und es riecht verbrannt. Gestern kam deswegen schon ein Handwerker vorbei und hat den Gasfeuerautomaten (die Steuerungsplatine der Therme) ausgetauscht, aber als er wieder weg war, hat es trotzdem manchmal noch geknallt. Ob das Problem nun behoben ist, bin ich mir nicht so sicher, da ich es seit dem Austausch des ZT noch einmal ein Knallen gehört habe. Bleibt nur übrig, das Ganze weiter zu beobachten und zu überlegen, ob die Therme, die bereits 25 Jahre alt ist, nicht eh bald getauscht werden müsste.

Tags:

Jan-Lukas Else
Interaktionen & Kommentare