quäldich-Intern
Einloggen, um einen Kommentar zu verfassenLog4j-Sicherheitslücke: quaeldich (im wesentlichen) nicht be
-
Jan, 13.12.2021, 15:11 Uhr 14.12.2021, 13:12 Uhr
-
Reinhard, 14.12.2021, 13:10 UhrPässe hervorheben? Applaus!
Und wie geht das? Gibt es eine neue qdtp-Version?
In meiner ist "Pässe hervorheben" grau und es steht da, dass ich java 11 brauche. Gibt es dazu vielleicht einen Link? Empfohlen wird mir aber Version 8 Update 311 (64-bit Windows) ... da blick ich nicht durch bei Java. -
gws, 14.12.2021, 23:32 Uhr 15.12.2021, 00:40 Uhr auf ReinhardHallo Reinhard,
Um mit dem Service kommunizieren zu können muss der TP zwingend mit Java 11 gestartet werden.
Ich selbst verwende OpenJdk 11 von hier.
Dann gibt's viele Möglicheiten, wie man den TP damit starten kann.
Ich bevorzuge [Verzeichnis_von_OpenJdk]\bin\java -jar [Jar-File].jar -appdir: [Verzeichnis_von_User.Settings]
Es ist natürlich auch möglich generell auf Java 11 umzustellen und dann wie gewohnt den TP zu starten.
LG, Gerhard -
usrusr, 15.12.2021, 16:32 Uhr 15.12.2021, 18:24 UhrDer zeitgemäße Weg zu einer Java-Installation ist derzeit https://adoptium.net/. 11 oder 17. Das hieß früher mal adoptopenjdk, umbenannt wegen markenrechtlicher Restrisiken. Version 8 Update 301 ist einfach nur Stand 2014 notdürftig für Ende 2021 fit gemacht.
TP-Anwendung selber ist insofern natürlich nicht betroffen dass er sich nicht willkürlichen Wortmeldungen aus dem Internet aussetzt. Aber drin ist der Code durchaus. Bei meinem ersten oberflächlichen Kontrollblick am Wochenende hatte ich das wohl nicht als einziger übersehen. -
Jan, 15.12.2021, 17:16 Uhr auf usrusrHi Ulf,
ich kann da ja gar nichts übersehen haben, weil ich den Code nicht kenne. Aber das fehlende Einfallstor von außen sicher den TP ab, und darauf kommt es letztlich an...
Schöne Grüße, Jan -
Reinhard, 16.12.2021, 09:31 Uhr auf usrusrHi Ulf und Gerhard,
klärt mich bitte auf: Brauche ich ein Java Development Kit, wenn ich doch nur eine Run-Time-Environment benötige?
Im Installer für den qdtp ist jedenfalls nichts dabei, womit dann auch der volle Funktionsumfang nutzbar wäre?
Danke und beste Grüße, Reinhard -
usrusr, 16.12.2021, 10:58 UhrSeit Version 11 ist kein separates JRE mehr definiert, Anwendungen die keine eigene Java-Umgebung mitbringen laufen jetzt auf dem JDK. (manche Anbieter haben trotzdem eins gebaut, quasi ein The Runtime Environment Formerly Known As JRE).
Das Prinzip ist nun eben etwas polarisierter als vorher: früher gab es drei Möglichkeiten, entweder das vollständige JDK oder etwas wirklich maßgeschneidertes (wo man dann wahrscheinlich ein halbes Team mit maßschneidern beschäftigen müsste...) oder auf halber Strecke dazwischen das JRE, sozusagen "auf gut Glück maßgeschneidert ab Werk". Dieses Zwischending (das für viele Anwendungen übrigens *nicht* gereicht hat) gibt es nun nicht mehr. Was die Sache in meinen Augen deutlich übersichtlicher macht. -
Reinhard, 16.12.2021, 15:20 Uhr auf usrusrVielen Dank für die Erläuterungen, Ulf! Dann werd ich mal mit einem JDK mein Glück versuchen.
-
gws, 18.12.2021, 18:12 Uhr auf ReinhardHallo Reinhard,
Hast du dann mit Java >= 11 Erfolg gehabt?
Läuft dein TP damit, bekommst du jetzt auch ein Highlighting der Pässe basierend auf den QD-Listen ...
LG, Gerhard -
gws, 18.12.2021, 18:19 Uhr auf usrusrAuch wenn das Paket im TP wohl unkritisch ist, sollten wir vielleicht doch erwägen auf eine aktuelle Version upzugraden die 1.1.0 ist vom Juli hat also sicher < 2.15.0, was als sicher angesehen wird - besser aber vielleicht gleich 2.16.0 zu verwenden ...
-
usrusr, 18.12.2021, 19:04 UhrDie nächste Version hat ein aktuelles, keine Frage. TP ist sowieso nur deshalb nicht koplett weg von log4j (würde normal eher logback nehmen) damit das einschalten von Logging über bestehende Mechanismen funktioniert. Aber außer uns zwei hat das wahrscheinlich sowieso niemand aktiviert, ist nämlich ein ziemlicher Eiertanz da irgendeine Zeile Logging herauszukitzeln. Und wenn's aus ist ist es aus, das habe ich extra noch mal durchgespielt.
-
Reinhard, 18.12.2021, 19:35 Uhr auf gwsHallo Gerhard,
bei deinem Link ist mir nicht klar, welche der vielen exen aus der zip ich ausführen muss.
Und beim Link von Ulf hab ich die Version 17 installiert, aber an der Anzeige im QDTP (1.1.0-FixSQZAndSteepRoadArrows) hat sich (auch nach Neustart) nichts geändert. "Pässe hervorheben" bleibt grau.
Schönen Gruß, Reinhard -
Jan, 19.12.2021, 11:52 Uhr auf usrusrHi Ulf,
können wir dann eine 1.1.1 bauen? Oder hängt gerade etwas dramatisch in der Luft?
Schöne Grüße, Jan -
Jan, 19.12.2021, 11:53 Uhr auf ReinhardVielleicht wird immer noch die alte Java-Version verwendet? Hast du die alte deinstalliert?
-
Reinhard, 19.12.2021, 13:01 Uhr auf JanNö, hab ich nicht. Teste später ....
-
Reinhard, 19.12.2021, 21:15 Uhr 19.12.2021, 21:15 Uhr auf JanHi Jan,
habe jetzt die alte Version (8/311) deinstalliert und (zuvor) die Adoptium 17 von Ulfs Link installiert. Nun meldet der QDTP aber beim Start nur "This application requires a Java Runtime Environment 1.8.0".
Gibt es einen Trick, wie ich das Adoptium Jdk zum Laufen bekomme @usrusr?
Vor QDTP-Start die java.exe aus dem Ordner "C:\Program Files\Eclipse Adoptium\jdk-17.0.1.12-hotspot\bin" auszuführen, hilft jedenfalls nicht. Geht einfach mal davon aus, dass ich diesbezüglich ein DAU bin. Außer dem neuen Programmeordner sehe ich auch keinen Effekt der Installation. Keine Verknüpfungen im Startmenü ... nix zu konfigurieren ...
Schöne Grüße, Reinhard -
usrusr, 20.12.2021, 11:41 UhrVielleicht hat der Deinstaller der 1.8 ein paar Einstellungen ungesehen platt gemacht die eigentlich schon auf 17 gestellt waren und die vom exe-launcher gelesen werden (oder eben nicht). java.exe separat ausführen wird jedenfalls nicht helfen, denn die fingert nichts an irgendwelchen Einstellungen herum, dafür ist der Installer zuständig. Falls beim ersten mal mit Standardeinstellungen installiert wurde (einfach immer "weiter" und "ok" und "jaja" drücken) sollte das aber einfach mit einer zweiten Runde zu beheben sein.
Was auch funktionieren *könnte* (aber wahrscheinlich nicht funktionieren wird wenn der 1.8er Deinstaller so konsequent rücksichtslos war wie ich vermute) wäre der Doppelklick auf die große .jar-Datei im QDTP-Verzeichnis. -
gws, 20.12.2021, 12:50 UhrIch starte den TP ja prinzipiell nicht über das exe sonder indem ich java - in der gewünschten version - mit dem TP-jar als Parameter ausführe. Der TP braucht dann aber noch ein -appdir - siehe weiter oben ...
Ob Java überhaupt funktioniet (und in welcher Version es dann ausgeführt wird) sollte mit einem java -version auf der Kommandozeile (cmd) zu erfahren sein. -
gws, 20.12.2021, 12:55 UhrBTW man kann seit einigen (Test)-Versionen den TP auch mit einer tcx, gpx oder fit-Datei als Parameter starten - entsprechende Zuordnung vorausgesetzt, auch wenn nur temporär gewählt. Das ist insbesondere ausgesprochen praktisch, wenn man Daten z.B. aus einer Garmin-fit-Datei für das Streckennetz vorbereiten will ...
LG, Gerhard -
majortom, 20.12.2021, 13:34 UhrGibt es denn auch eine Handlungsanweisung für Nicht-Nerds? :-)
Vermutlich am besten gar nix machen, solange alles läuft... -
Bergziegenmutant, 20.12.2021, 14:00 Uhr auf majortomDanke Tom für diesen Beitrag - hab es genau so gedacht, aber halt nicht geschrieben!
Ich habe gestern in völliger Unwissenheit den QD Tourenplaner komplett deinstalliert und neu runtergeladen und installiert. Wahrscheinlich völlig unnötige Aktion. -
Jan, 20.12.2021, 17:42 Uhr 20.12.2021, 17:44 Uhr auf gwsHi Gerhard,
kann man die tcx/gpx/fit auch per dragndrop laden? DAS wäre ja toll!
Herzliche Grüße, Jan -
Reinhard, 20.12.2021, 20:55 Uhr 20.12.2021, 21:07 Uhr auf usrusrHi Ulf,
Drüberinstallieren und Reparieren der Eclipse 17 hat auch nicht geholfen. Bekomme den TP nicht mehr geöffnet.
Aha ... interessant. Die exe geht nicht, aber ich kann die jar mit der "OpenJDK Platform binary" öffnen. Jetzt stellt sich nur die Frage, wie ich die qdtps direkt mit dem Tourenplaner öffne.
Genau, wie befürchtet: qdtp hier direkt von der Pässeseite öffnen geht nicht, weil ich dafür ja die exe angeben muss.
P.S.: Fast vergessen, worum es mal ging. Das Hervorheben von Pässen klappt jetzt natürlich - sehr praktisch!! -
Bergziegenmutant, 21.12.2021, 14:17 Uhr 21.12.2021, 14:48 Uhr auf JanBitte neues QD Forum schaffen: "Experten Talk für IT Profis" :)
Ansonsten ist mir immer noch nicht klar: sollte ich als QD + Tourenplaner Nutzer wegen dieser Sicherheitslücke etwas unternehmen oder nicht? -
Jan, 21.12.2021, 15:25 Uhr auf BergziegenmutantDu musst nichts machen, Jürgen, der Tourenplaner ist sicher.
-
gws, 26.12.2021, 16:27 Uhr 26.12.2021, 17:52 Uhr auf JanHallo Jan,
D'n'D scheint nicht zu funktionieren, ich dachte aber eigentlich, dass das auch möglich sein sollte ...
Dann werde ich da mal nachforschen :-)
LG, Gerhard -
gws, 27.12.2021, 10:52 Uhr 27.12.2021, 10:54 Uhr auf ReinhardHallo Reinhard,
Es ist schon etwas verwunderlich, dass mit dem EXE der TP nicht gestartet werden kann, das greift ja auch nur irgendwie auf java lädt das jar und setzt wohl auch noch ein paar Startparameter ...
Interessant wäre zu wissem, was passiert, wenn du das EXE von der Kommandozeile aus startest, bzw. was ein java -version liefert.
Das muss doch zu schaffen sein ... und ein Update auf eine neuere Java-Version darf doch hier nichts zerstören - dachte ich zumindest. Eventuell könnte es auch mit einer fehlerhaften PATH-Einstellung zusammnehängen ?
Aber Hauptsache das Highlighting funktioniert jetzt, obwohl natürlich das Starten mit einer gewählten Datei schon auch nicht ganz unwichtig ist.
Ich denke wir bekommen das noch vor dem Rutsch ins neue Jahr hin - daher heute noch nicht alles Gute für 2022 ;-)
Gerhard
Reifen
Laufräder
Ernährung
wer schon von der log4j-Sicherheitslücke gehört hat: quaeldich ist im Wesentlichen nicht betroffen.
Einziger Dienst, den wir bis zum Beheben außer Kraft setzen mussten, betrifft die Hervorhebung von gefahrenen Pässen (und Listen) im Tourenplaner.
[ Der Tourenplaner selber ist auch nicht betroffen. ]
Schöne Grüße, Jan
@gws hat den entsprechenden Dienst gepatcht, und im Tourenplaner können die gefahrenen Pässe hervorgehoben werden. Applaus!