Durch ein Hinweis auf der Internetseite der Schwäbischen Zeitung von heute auf eine gefährliche Sicherheitslücke in Software mußte ich feststellen, daß die genannte Java-Bibliothek Log4j auch auf meinem Rechner in o.g. Ordner vorhanden ist.
Was nun tun?
JOSM vorerst nicht mehr nutzen?
Also siehe https://josm.openstreetmap.de/ticket/21657 sprich Upgraden ist die Lösung.
Die Tatsache das die Bibliothek verwendet wird, sagt aber per se nicht sehr viel darüber aus ob man tatsächlich betroffen ist, es ist ein weites Feld und hängt halt davon ab ob Userinput in irgendeiner Form geloggt wird (dies könnte auch durch den Inhalt irgendeines OSM Tags ausgelöst werden).
Lieber nicht (durchatmen).
Das Feature funktioniert durchaus noch mit den aktuellen JRE Versionen (einfach nicht mehr so trivial), und der typischer Anwender von JOSM wird das auch nicht in einem isolierten Netz tun (in dem JOSM gar nicht funktionieren würde) ist also prinzipiell nicht geschützt. Man muss deswegen nicht in Panik verfallen, aber ein zügiges Updaten ist wohl sinnvoll, und vor allem sollte man dann alte JOSM Versionen endgültig entsorgen da der Natur nach das Feature sich auch in 10 Jahren wird ausnützen lassen.
Hast recht, das wurde heute morgen dementiert.
Aus dem verlinkten Ticket: es sieht so aus, als ob log4j nur dann installiert wird, wenn mindestens auch eines von 4 Plugins installiert wurde. Das wären da: areaselector, routing, ImportImagePlugin sowie kendzi3d.
Bedeutet das dann umgekehert, wenn in meiner Plugin-Liste kein Häkchen neben “log4j” gesetzt ist, sollte auch kein log4j zum Einsatz kommen?
Also für RemoteControl konnte ich schon mal keinen Effekt sehen, obwohl da der Querystring munter rausprotokoliiert wird.
In JOSM nicht, korrekt. Das wird nur als zusätzliche Erweiterung eingebunden, wenn eine der aufgezählten anderen Erweiterungen es anfordert.
Ob du neben JOSM noch woanders Software laufen hast, die log4j nutzt, ist damit natürlich nicht ausgeschlossen 
Klar, in diesem Faden geht’s nur um JOSM. Der Plugin-Manager in JOSM ist ja nicht zuständig für irgendwas, was ausserhalb von JOSM passiert.
demnach von 2.14.1 auf 2.15.0 geändert, lese ich das richtig?
Heise schreibt:
Hervorhebung von mir.
Ab welcher JOSM-Version gilt das?
Sven
Es gibt stand heute noch keine JOSM Version, in der dieser Patch drin ist. Also am besten mal die Plugins auf “log4j” hin prüfen und ggfs. dieses Plugin deinstallieren. Ich denke, dass das bei den allermeisten Usern eh nicht aktiv ist.
Das Ticket ist mittlerweile “gefixt” und eine neue Version (35874) der Erweiterung vorhanden.
Also aktualisiert Eure Erweiterungen.
Genau. JOSM selbst hat das Ding gar nicht im Bauch, es ist eine Erweiterung, die nur dann mitinstalliert wird, wenn eine andere Erweiterung es braucht. Deswegen kommt es auf die JOSM-Version nicht an.
Ich habe keins der Plugins aktiv installiert, aber: kendzi vor längerer Zeit mal genutzt und wegen Performance wieder weggeworfen.
log4j bleibt dann übrig. Nur zur Info.
heisst: wenn man eins irgendwann mal installiert hatte, dann hatte man bis gestern die Lücke in JOSM
Nicht wirklich, weil es nichts gab, um etwas zu loggen. Somit erst recht keine unkontrollierten Daten und somit bestand auch kein Risiko.
Man hatte sie nicht “in JOSM”, sondern in einer Bibliothek, die im JOSM-Ordner rumlag und von nichts und niemandem mehr genutzt wurde. Dann ging von der Lücke keine Gefahr aus. So wie kaputte Bremsen am Auto dich nicht gefährlicher machen, solange du es in der Garage stehen lässt
Log4j ist ja kein Virus, das sich selbst in alle möglichen Ecken des System kopiert, sondern eine durchaus gute Software mit, wie sich jetzt gezeigt hat, einem Konstruktionsfehler.
Es gibt jetzt bereits eine Version 2.16.0
Sven