Lieber Besucher, herzlich willkommen bei: INVESTOX-Forum. Falls dies Ihr erster Besuch auf dieser Seite ist, lesen Sie sich bitte die Hilfe durch. Dort wird Ihnen die Bedienung dieser Seite näher erläutert. Darüber hinaus sollten Sie sich registrieren, um alle Funktionen dieser Seite nutzen zu können. Benutzen Sie das Registrierungsformular, um sich zu registrieren oder informieren Sie sich ausführlich über den Registrierungsvorgang. Falls Sie sich bereits zu einem früheren Zeitpunkt registriert haben, können Sie sich hier anmelden.
Montag, 13. Dezember 2021, 08:55
IB und die log4j Sicherheitslücke
Hallo zusammen
Ich habe gerade eine Anfrage gestellt an IB, ob die TWS, das Gateway oder die API oder sonst ein Stück IB Software betroffen ist, von der als rot eingestuften Sicherheitswarnung, und wenn ja, bis wann das mit welcher Version gefixt ist.
Siehe z.B. hier, die Nachricht brennt gerade durch das ganze Internet:
Weiss hier jemand im Forum vielleicht schon genaueres?
----
Gefundene detaillierte Infos:
https://www.govcert.ch/blog/zero-day-exp…library-log4j/#
https://gist.github.com/SwitHak/b66db3a0…b71a8718970c592
- in dieser Liste fand ich den Eintrag von CyberArk besonder bemerkenswert: gedacht für den Notfall, den Super-Gau eines Unternehmens zu verhindern: auf das sich sogar grosse Firmen heute verlassen. Für Notfall-Passwörter - eine Arche Noah eben. UND DIE WURDE NUN GEHACKT
spacy ...
Ich habe gerade eine Anfrage gestellt an IB, ob die TWS, das Gateway oder die API oder sonst ein Stück IB Software betroffen ist, von der als rot eingestuften Sicherheitswarnung, und wenn ja, bis wann das mit welcher Version gefixt ist.
Siehe z.B. hier, die Nachricht brennt gerade durch das ganze Internet:
Zitat
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stuft das Risiko durch die Sicherheitslücke auf der sogenannten CVSS-Skala mit 10 ein, dem höchstmöglichen Wert. Die Behörde hat daher Samstagabend die IT-Bedrohungslage auf die höchste Warnstufe Rot erhöht und IT-Organisationen ermahnt: Die Reaktionsfähigkeit sei „kurzfristig geeignet zu erhöhen“.
Weiss hier jemand im Forum vielleicht schon genaueres?
----
Gefundene detaillierte Infos:
https://www.govcert.ch/blog/zero-day-exp…library-log4j/#
https://gist.github.com/SwitHak/b66db3a0…b71a8718970c592
- in dieser Liste fand ich den Eintrag von CyberArk besonder bemerkenswert: gedacht für den Notfall, den Super-Gau eines Unternehmens zu verhindern: auf das sich sogar grosse Firmen heute verlassen. Für Notfall-Passwörter - eine Arche Noah eben. UND DIE WURDE NUN GEHACKT
spacy ...
Gruss
Bernd
Bernd
Dieser Beitrag wurde bereits 2 mal editiert, zuletzt von »Bernd« (13. Dezember 2021, 13:22)
Mittwoch, 15. Dezember 2021, 07:09
Hallo zusammen
Hier kommt die Antwort von IB, in Summe, die Server sind geflickt, für die TWS gibt es in Kürze ein Fix für die "Latest" Version (die neueste Version Stand 15.12.2021 06:30h ist von Okt. 2021, da wird der Fix also noch nicht drin sein und wird auch nicht erwähnt unter Fixes and Enhancements); das Gateway und die API, die ich auch nachgefragt habe, werden nicht extra erwähnt im Antwort-Text:
Hier kommt die Antwort von IB, in Summe, die Server sind geflickt, für die TWS gibt es in Kürze ein Fix für die "Latest" Version (die neueste Version Stand 15.12.2021 06:30h ist von Okt. 2021, da wird der Fix also noch nicht drin sein und wird auch nicht erwähnt unter Fixes and Enhancements); das Gateway und die API, die ich auch nachgefragt habe, werden nicht extra erwähnt im Antwort-Text:
Dear Client/Trader,
Last week, the global information security community discovered a vulnerability in a widely used component which makes up information systems.
The technology in question is related to the environment that TWS needs to function. This is to provide you with some insight into what that means to you as a user of TWS.
What is Log4j?
Log4j is a component of the Java Runtime Environment. It is used to create and maintain information logs. This element does not execute code or have the ability to communicate on its own with a third party. Access to its produced content is however problematic in this specific scenario as one could misuse that facility to gain capabilities that would otherwise not be possible.
What is the danger to me?
There is no inherent danger to just using software that relies on Java. The system will be in that sense not directly compromised, but has to be explicitly targeted.
At this present time there is no immediate danger to your data.
What are we doing?
We are actively working, with high priority, to address vulnerabilities on several levels such as:
• Back-end: FIX COMPLETE. We have already patched all our servers (trading and webservers) with the latest version of Log4j which the exploit does not target
• Front-end: FIX IN ROLLOUT. Due to the nature of the vulnerability, the exploit is not expected to impact the TWS. However, we are in the process of releasing TWS Latest installers that will include the latest version of Log4j
ACTION REQUIRED:
We are committed to providing a secure environment for your assets. The process requires that in this specific situation you give priority to the use of the LATEST TWS version, which will auto-update. Should you have the STABLE or any OFFLINE version, which does not auto-update, please ensure you take the necessary steps to keep your TWS in line with the latest security fixes.
IBKR Client Services
Gruss
Bernd
Bernd
Samstag, 18. Dezember 2021, 12:25
Hallo Giuseppe
Ich habe mich über Deinen Kommentar gefreut; ich dachte schon, ich wäre der Einzige hier, der sich Gedanken macht wegen Java und der TWS, wenn so eine heftige "rote Gefahrenstufe" im Internegt rollt
In meinem IT-Umfeld, also viele Kollegen mussten ungeplante Überstunden schieben letztes WoEnde, für log4j Fixes und Upadates. Über mich wollten sie auch so eine Welle ausbreiten; ich hatte ab Montag alle Hände bzw. Headsets voll zu tun, um gewissem Management zu erklären, meine eigenen Programme sind sauber, nutzen log4j nicht und auch die Systeme, für die ich zuständig bin, nutzen es nicht. Es war ein sehr hitziger Wochenstart.
Parallel habe ich mich natürlich direkt gefragt, was bei IB los ist, weil sie auf ihren Websites freiwillig irgendwie genau nix kommunizieren
Auf meiner Papertrading-Maschine (die einizige Maschine, die ich mit einigen Online-TWS'en ausgestattet habe, was übrigens bei automatisches TWS-Updates regelmässig genau nicht funktioniert, aber das ist ein anderes Thema für eine andere Klagemauer) kam Freitag dann doch ein neues automatisches TWS Update.
Von dem log4j Patch konnte ich jedoch bis gestern, als ich zuletzt gecheckt habe, nix finden im Release-Update. Die offizielle IB Kommunikation ist scheint's für die Tonne. Und das bei so einer Red-Alert Warnung, bei der selbst ofizielle Organe der Regierung kommunizieren (naja, zumindest in CH, im ofiziellen Schland habe ich dazu auch nix gefunden, da spielt die neue Ampel wohl immer noch an sich selbst rum).
Fazit, ich bin ein wenig sehr enttäuscht von IB, Null offene Kommunikation.
Ich habe mich über Deinen Kommentar gefreut; ich dachte schon, ich wäre der Einzige hier, der sich Gedanken macht wegen Java und der TWS, wenn so eine heftige "rote Gefahrenstufe" im Internegt rollt
In meinem IT-Umfeld, also viele Kollegen mussten ungeplante Überstunden schieben letztes WoEnde, für log4j Fixes und Upadates. Über mich wollten sie auch so eine Welle ausbreiten; ich hatte ab Montag alle Hände bzw. Headsets voll zu tun, um gewissem Management zu erklären, meine eigenen Programme sind sauber, nutzen log4j nicht und auch die Systeme, für die ich zuständig bin, nutzen es nicht. Es war ein sehr hitziger Wochenstart.
Parallel habe ich mich natürlich direkt gefragt, was bei IB los ist, weil sie auf ihren Websites freiwillig irgendwie genau nix kommunizieren
Auf meiner Papertrading-Maschine (die einizige Maschine, die ich mit einigen Online-TWS'en ausgestattet habe, was übrigens bei automatisches TWS-Updates regelmässig genau nicht funktioniert, aber das ist ein anderes Thema für eine andere Klagemauer) kam Freitag dann doch ein neues automatisches TWS Update.
Von dem log4j Patch konnte ich jedoch bis gestern, als ich zuletzt gecheckt habe, nix finden im Release-Update. Die offizielle IB Kommunikation ist scheint's für die Tonne. Und das bei so einer Red-Alert Warnung, bei der selbst ofizielle Organe der Regierung kommunizieren (naja, zumindest in CH, im ofiziellen Schland habe ich dazu auch nix gefunden, da spielt die neue Ampel wohl immer noch an sich selbst rum).
Fazit, ich bin ein wenig sehr enttäuscht von IB, Null offene Kommunikation.
Gruss
Bernd
Bernd
Ähnliche Themen
-
Talk, Talk und allgemeine Themen »-
Schüler knacken neuen Personalausweis
(13. September 2010, 18:33)
-
- Talk, Talk und allgemeine Themen »
-
Zwangspatch bei Microsoft ??????????????????
(8. Juli 2008, 20:04)
-
- Talk, Talk und allgemeine Themen »
-
Kurios... ;)
(31. August 2006, 23:45)
-
- Talk, Talk und allgemeine Themen »
-
"Wallon"
(16. Mai 2004, 13:54)
-
- Erweiterungs- und Verbesserungsvorschläge zu Investox »
-
Rtt
(11. August 2003, 10:41)