Hallo,
nutzt homee in irgendeiner Art und Weise log4j?
Seit Freitag gibt es den CVE CVE-2021-44228
Danke
6 „Gefällt mir“
@fipsi
Die Frage ist mehr als berechtigt und dass es dazu nach TAGEN keine Verlautbarung gibt, ist gelinde gesagt eine absolute Katastrophe!!! Es zeigt aber auch, wie man(nicht nur) bei homee dem Thema IT-Sicherheit gegenüber steht… 
Hm…
Homee Core wird in c++ Entwickelt,
die Webapp nutzt Javascript
iOS App schätze ich ist Swift
Android App nutzt wahrscheinlich den Logging Mechanismus von Android (kein log4j).
Der Proxy? Hm… den kenne ich nicht. Evtl. irgendein Java-Kram? Nur dann käme Log4j in Betracht.
Klar kann man zu jeder gemeldeten Sicherheitslücke von der man nicht betroffen ist einen Kommentar abgeben. Aber muss man das? Ab welcher Warnstufe?
2 „Gefällt mir“
Der höchsten? (Ist der Fall) 
Siehste, nur die Entwickler wissen wirklich was wo genau zum Einsatz kommt!
Ich würde sagen allerspätestens, wenn die eigenen Systeme tatsächlich betroffen sind, oder aber durchaus gerechtigte Fragen von Usern dazu auftauchen.
Es wäre doch auch eine winzige Mühe, falls nirgends Java im Einsatz ist, die Bedenken der User zu zersteuen, oder?
Unsere Kunden fragen verständlicherweise auch zu solchen Themen nach, speziell dann wenn sie nahzu überall Erwähnung in Presse, Rundfunk und Fernsehen finden…
Ich finde die Frage von @fipsi auch durchaus gerechtfertigt. Wenn die Frage auftaucht darf auch @Support kurz was dazu sagen 
Man darf auch gerne proaktiv tätig werden. Muss man aber nicht. Und daher finde ich das
an der Stelle deutlich überzogen (es sei denn homee ist betroffen).
Auch Du darfst natürlich „finden“ was Du magst… 
Profis werden proaktiv tätig!
Ich frage gern mal bei einem der Verfasser der in letzter Zeit erhaltenen diesbezüglichen Newsletter nach, ob ich diesen hier als Beispiel einstellen darf, nur um mal zu zeigen wie man’s hätte machen können.
Überall wo man keine Klarheit schafft, herrscht logischerweise Unklarheit und wozu das führt…
…nein ich verkneif’s mir.
Du hast recht, eine kurze proaktive Rückmeldung auf der Webseite oder im Forum (selbst eine negative) wäre wünschenswert und sollte als Best Practice angesehen werden. Andere Best Practices sollten auch Meldewege für entdeckte Sicherheitslücken sein, aber das nur am Rande.
Zurück zur proaktiven Rückmeldung: Haben die grossen (bei mir relevant am Wochenende waren da u.a. Microsoft, Sophos, UniFi, HP) alle so gemacht (um auch nicht von entsprechenden Fragen überrollt zu werden) - in Forrm von Security-Analysen/Negativmeldungen runtergebrochen auf Produktgruppen auf deren Webseiten.
Einige sind sogar noch weiter gegangen (u.a. mein ERP-Dienstleister, zwei meiner Infrastruktur-Dienstleister), dass sie die Info (obwohl allesamt nicht betroffen) sogar via Mail oder Telefonaten „gepusht“ haben. Das geht dann über Best Practice hinaus und ist dann der pure Luxus (was halt auch entsprechend Geld kostet).
2 „Gefällt mir“
Node.js
Wetter, Notification, Netatmo, OAuth usw. sind entweder TypeScript oder (noch) JavaScript.
9 „Gefällt mir“