Log4j bei Bitcoin Software im Einsatz?

Moin. Weiß jemand, ob und welche Software rund um Bitcoin in Java geschrieben ist und gfs von der log4j Problematik betroffen sein könnte?
Frage für einen Freund…

1 „Gefällt mir“

Es wäre eine riesen Arbeit hier eine Liste mit allen möglichen Software-Produkten zu erstellen, die es gibt. Von daher schreib einfach um welche Software es geht bzw. welche du im Einsatz hast und das kann man dann ja innerhalb von Sekunden nachschauen, Leute mit programmiertechnischen Verständnis jedenfalls, gibt hier ja einige (inkl mir).

Gilt natürlich nur für Open-Source Produkte, sollte deine Software nicht open source sein gute Nacht, dann kannst du eigentlich nur beten und deine Coins abziehen, solange sie noch da sind.

2 „Gefällt mir“

Muss man sich als Hardware-Wallet Besitzer nun Gedanken machen? Z. B. mit ledger software?

Nein. Cold Wallets sind nicht gefährdet.

1 „Gefällt mir“

Es kommt immer drauf an welche Software, ich weiß ja nicht welche du nutzt. Ledger Live ist nicht betroffen.

1 „Gefällt mir“

Das kann man nicht pauschal sagen. Du kannst auch irgendeine unsichere Cold-Wallet nutzen und/oder irgendeine Software, die mit dem Gerät spricht, die betroffen ist.

Aber die offiziellen Programme von Bitbox und Ledger sind nicht betroffen. Das kann man 100% sicher sagen.

Wie es mit allen erdenklichen anderen Softwares aussieht, muss man individuell anschauen.

2 „Gefällt mir“

Habe mal kurz in Eclair (lightning Implementierung) geschaut. log4j wird da nicht verwendet.

Damit meine ich, dass auf einem Cold Wallet keine code injection durch logging ausgeführt werden kann, weil auf dem Wallet keine Konsole läuft – zumindest gehe ich davon aus… Wenn dem so ist, dann kann das Signieren von Transaktionen nicht betroffen sein.

2 „Gefällt mir“

Das ist richtig für die empfohlenen Cold-Wallets Bitbox und auch Ledger würde ich definitiv dazu zählen. Es gibt jedoch auch noch andere Cold-Wallets (nicht implizierend das dies für alle nicht-Bitbox bzw. nicht-Ledger der Fall ist) für die diese Aussage nicht pauschal gelten muss.

1 „Gefällt mir“

d’accord. Es kann alles möglich geben…

Wie sieht es denn bei Nodes aus? Ich betreibe eine Umbrel Node, ist diese von der Schwachstelle betroffen?

Umbrel ist nicht von der Schwachstelle betroffen. Raspiblitz und Citadel auch nicht.

4 „Gefällt mir“

Hier unten mal zwei deutschsprachige Videos über die log4j Sicherheitslücke.
Ich gehe davon aus, dass Java Programme betroffen sind, die die log4j Bibliothek benutzen und die aus dem Internet von außen erreichbar sind, also hauptsächlich Webserver/Webanwendungen.

1 „Gefällt mir“

Ok mein Ansinnen war vielleicht zu unpräzise formuliert. Hätte besser geschrieben, gibt es eigentlich irgendeine Software im direkten Bitcoin-Kontext die Java basierend ist. Mir fiel keine ein.
Die githubs von Core und Raspiblitz (plus Plugins) hatte ich schnell abgebrowst, dachte aber das evtl. noch mehr unterwegs ist und vermutlich weit außerhalb meines Kurzstreckenradars.
Wie man hier sieht war ja auch nicht allen klar, dass es nur um diese eine Java Lib dabei geht und online Anwendungen betroffen sind.

Eclair läuft auf der JVM.

alleine was via Docker nachgeladen werden kann… hab ich aber bedacht sowas.
Eclair not vulnerable to Log4J 2.1x remote execution issues. · ACINQ/eclair · Discussion #2100 · GitHub Eclair ist nicht betroffen.

1 „Gefällt mir“

… und schaut Euch hier mal den Florian Roth Tweed an: Ein echter Lightning-Freak :wink: