theoberlin
Goto Top

Log4j Sicherheitslücke kleiner V2.15 Kategorie 4 CVE-2021-44228

article-picture
Hallo zusammen,

die Versionen von Log4j < 2.15 sind gegen eine Schwachstelle vulnerabel. Das BSI hat die Sicherheitslücke als Kategorie 4 eingestuft. Sie ist sehr leicht ausnutzbar.

Hier noch ein paar Links dazu:

cve.mitre.org CVE-2021-44228

CVE-2021-44228 Log4J-Lücke bedroht Minecraft und viele weitere Anwendungen
Warnstufe Rot: Log4j-Zero-Day-Lücke bedroht Heimanwender und Firmen
Schutz vor schwerwiegender Log4j-Lücke - was jetzt hilft und was nicht

lg
Theo

Content-Key: 1611160059

Url: https://administrator.de/contentid/1611160059

Printed on: February 8, 2023 at 15:02 o'clock

Member: StefanKittel
StefanKittel Dec 12, 2021 at 09:04:39 (UTC)
Goto Top
<satire>Dann können wir ja mal davon ausgehen, dass es im medizinischen Bereich schnellstens Update geben wird. Also in ca. 6-8 Monaten.</satire>
Member: commodity
commodity Dec 12, 2021 updated at 10:01:41 (UTC)
Goto Top
Danke für den Post. Ich kam leider noch nicht dazu. Die Lücke fackelt schon seit zwei Tagen fleißig im Netz und es ist eine Fülle von Diensten betroffen (Stand jetzt). Das Ausmaß ist noch gar nicht abzusehen.

Hier mal ein kurzer Überblick, welche - prominenten - Dienste schon jetzt bekannt sind:

https://github.com/YfryTchsGD/Log4jAttackSurface#the-list

Für die Kollegen, die VMWare einsetzen, dürfte ein bisschen Arbeit anstehen...

Stay tuned!

Viele Grüße, commodity
Member: em-pie
em-pie Dec 12, 2021 at 10:38:49 (UTC)
Goto Top
Ich freu mich. Weihnachten gerettet face-sad

Und wenn man noch bedenkt, wie wie viele Apaches auf „irgendwelchen“ Firewalls/ UTMs zum Einsatz kommen…
Member: commodity
commodity Dec 12, 2021 updated at 10:46:15 (UTC)
Goto Top
Nein, der Webserver Apache ist nicht betroffen. Bitte erst die Feeds lesen, dann klagen face-wink

Aber das, was betroffen ist, dürfte für die nächsten Wochen reichen.

Viele Grüße, commodity
Mitglied: 148848
148848 Dec 12, 2021 updated at 11:06:47 (UTC)
Goto Top
Moin,

Nein, der Webserver Apache ist nicht betroffen. Bitte erst die Feeds lesen, dann klagen face-wink face-wink

Wer sagt, dass @em-pie den Apache HTTP Server meint? face-wink

Der HTTP Server ist ja nur ein Produkt von vielen von der Apache Software Foundation.
Und von der Lücke sind einige Apache Produkte betroffen. Insofern hat er da durchaus recht.

MfG
Member: ichi1232
ichi1232 Dec 12, 2021 at 13:21:46 (UTC)
Goto Top
Zitat von @commodity:

Danke für den Post. Ich kam leider noch nicht dazu. Die Lücke fackelt schon seit zwei Tagen fleißig im Netz und es ist eine Fülle von Diensten betroffen (Stand jetzt). Das Ausmaß ist noch gar nicht abzusehen.

Hier mal ein kurzer Überblick, welche - prominenten - Dienste schon jetzt bekannt sind:

https://github.com/YfryTchsGD/Log4jAttackSurface#the-list

Für die Kollegen, die VMWare einsetzen, dürfte ein bisschen Arbeit anstehen...

Stay tuned!

Viele Grüße, commodity

Ich frage mich ernsthaft, in welchem dunklen Szenarien VMware Hosts / VCenter Appliances von solchen Angriffen betroffen sein könnten. (?)

Natürlich sollten die Patches schnellstmöglich eingespielt werden, das steht außer Frage.
Ich bin dennoch der Meinung, dass das Risiko schwindend gering ist, wenn alle anderen Maßnahmen umgesetzt sind (Netztrennung, Isolierung, 802.1x, etc. pp.). Den ausgebrannten und bereits gekündigten Administrator mit 2 Häusern und 15 Kindern lasse ich als inneren Angreifer jetzt mal außen vor.

Gibt es Angriffsmöglichkeiten die ich evtl. nicht bedacht habe?
Member: commodity
commodity Dec 12, 2021 updated at 20:01:39 (UTC)
Goto Top
Zitat von @148848:
Wer sagt, dass @em-pie den Apache HTTP Server meint? face-wink
... von der Lücke sind einige Apache Produkte betroffen.

In einem Forum kann man natürlich faktenfern bleiben. Wenn Techniker über Sicherheit reden, finde ich das aber bedenklich. Wenn Du die Liste der betroffenen Apache-Software gelesen/verstanden hättest, würdest Du nicht so einen oberflächlichen Nonsens schreiben. Keine der betroffenen Apache-Software - Apache Solr, Apache Druid, Apache Flink oder Apache Struts2 sehe ich auf einer Firewall. Webserver hingegen alle Tage. Geht das nur mir so? Was also wird der Kollege @em-pie gemeint haben? Ist doch auch gar nicht schlimm. Ist ja Sonntag.

Ich mag mich irren. Korrigier mich gern, wenn Du einen Anwendungsfall für eine Firewall kennst. Ich lerne immer gern dazu. Aber bitte nicht faktenfrei face-wink Ist zwar derzeit modern, hat aber in der IT nichts zu suchen. Voodoo ist woanders.

Viele Grüße, commodity
Member: em-pie
em-pie Dec 12, 2021 at 20:35:41 (UTC)
Goto Top
Tatsächlich hab ich fälschlicherweise den Webserver im Kopf gehabt. Muss aber zu meiner „Verteidigung“ sagen: den Artikel hatte ich bereits weit vor diesem Thread gelesen und mir scheinbar nur „Apache“ behalten.

Asche auf mein Haupt. Ich werd besser mal zum Hausmeister umschulen face-smile
Member: theoberlin
theoberlin Dec 12, 2021 at 22:17:26 (UTC)
Goto Top
Lass mal em-pie, ich hab es auch erst auf den Apache Webserver bezogen und dann nochmal schnell den Betreff geändert 😁
Member: themuck
themuck Dec 13, 2021 at 08:21:24 (UTC)
Goto Top
Weil es nicht in der Liste ist... es betrifft zum Beispiel auch Kommerzielle Asterisk Voip anlagen ;)...
Member: Looser27
Looser27 Dec 13, 2021 updated at 08:39:48 (UTC)
Goto Top
Moin,

VMWare hat hier u.a. einen Workaround für das vCenter veröffentlicht :
https://kb.vmware.com/s/article/87081?lang=en_US

Gruß

Looser

Edit:

Hier noch die Liste von der HP von vmware:
https://www.vmware.com/security/advisories/VMSA-2021-0028.html
Member: manuel-r
manuel-r Dec 13, 2021 at 08:49:04 (UTC)
Goto Top
Zitat von @themuck:

Weil es nicht in der Liste ist... es betrifft zum Beispiel auch Kommerzielle Asterisk Voip anlagen ;)...

Zumindest 3CX sagt "Nein, kein Java und deshalb auch kein log4j"

Manuel
Member: Looser27
Looser27 Dec 13, 2021 at 08:56:54 (UTC)
Goto Top
Unifi hat bereits ein Update veröffentlicht für die betroffene Controller-Software.
Member: commodity
commodity Dec 13, 2021 updated at 09:04:45 (UTC)
Goto Top
Zitat von @themuck:

Weil es nicht in der Liste ist... es betrifft zum Beispiel auch Kommerzielle Asterisk Voip anlagen ;)...

Bitte präziser. Diese Info, selbst wenn es zutreffen würde, viel zu pauschal.

- Fundstelle?
- Kontext?
Member: Looser27
Looser27 Dec 13, 2021 at 09:03:37 (UTC)
Goto Top
Starface prüft gerade, ob deren Anlagen in den unterschiedlichen Versionsständen betroffen sind.
Member: themuck
themuck Dec 13, 2021 at 09:03:41 (UTC)
Goto Top
Zitat von @commodity:

Zitat von @themuck:

Weil es nicht in der Liste ist... es betrifft zum Beispiel auch Kommerzielle Asterisk Voip anlagen ;)...

Bitte präziser.

- Fundstelle?
- Kontext?

Viele Grüße, commodity

https://www.pascom.net/forum/t/official-information-on-log4j-security-vu ...
Member: commodity
commodity Dec 13, 2021 at 09:05:03 (UTC)
Goto Top
Zitat von @em-pie:
Asche auf mein Haupt.
Quatsch, passiert doch jedem hier mal auf die schnelle. Wollte nur vermeiden, dass sich Panikmeldungen verbreiten.

Viele Grüße, commodity
Member: Looser27
Looser27 Dec 13, 2021 at 09:05:04 (UTC)
Goto Top
Zitat von @themuck:

Zitat von @commodity:

Zitat von @themuck:

Weil es nicht in der Liste ist... es betrifft zum Beispiel auch Kommerzielle Asterisk Voip anlagen ;)...

Bitte präziser.

- Fundstelle?
- Kontext?

Viele Grüße, commodity

https://www.pascom.net/forum/t/official-information-on-log4j-security-vu ...

Das betrifft aber erstmal nur deren Anlagen und sollte nicht verallgemeinert werden. Die anderen Hersteller werden sich schon noch äußern.
Member: commodity
commodity Dec 13, 2021 updated at 09:07:28 (UTC)
Goto Top

Danke, ich sehe allerdings nur eine Anlage. Mehr?

Anmerkung: Es wird noch ganz viel hochkommen. Pauschale Posts bringen nichts. Arbeiten können wir nur mit präzisen Infos.

Viele Grüße, commodity
Member: commodity
commodity Dec 13, 2021 at 09:13:59 (UTC)
Goto Top
Ergänzung zur obigen Liste: Die auch bei Heise verlinkte advisory-list (wird fortlaufend aktualisiert):

https://gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592

Viele Grüße, commodity
Member: themuck
themuck Dec 13, 2021 at 09:17:02 (UTC)
Goto Top
Zitat von @commodity:

Anmerkung: Es wird noch ganz viel hochkommen. Pauschale Posts bringen nichts. Arbeiten können wir nur mit präzisen Infos.

Viele Grüße, commodity

Das ist mir schon klar... ich wollte eigentlich nur dazu anregen das Leute die so eine Anlage betreiben einfach nach schauen was ihr Anbieter dazu sagt... Eventuell hat man sowas ja nicht sofort auf dem Schirm.
Member: em-pie
em-pie Dec 13, 2021 at 09:42:24 (UTC)
Goto Top
ElasticSearch ist im übrigen dahingehend "interessant", da es die erweiterte Suchfunktion vieler Wikis ist.

Zumindest bin ich in dem Kontext auf ElasticSearch aufmerksam geworden, bin mir aber ziemlich sicher, dass es nicht nur in den verschiedenen Wikis zum Einsatz kommt.

Also auch eine Auge auf die Systeme haben, die zwar nicht direkt irgendwo gelistet werden, aber aufgeführte Dienste als Bausteine "unter der Haube" einsetzen...
Member: StefanKittel
StefanKittel Dec 13, 2021 at 10:22:49 (UTC)
Goto Top
Member: em-pie
em-pie Dec 13, 2021 at 13:10:11 (UTC)
Goto Top

Mal im Auge behalten...

@all.
Hier noch ein Dokument des BSI
https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2021/202 ...
Member: ukulele-7
ukulele-7 Dec 13, 2021 at 13:11:46 (UTC)
Goto Top
Also ich weiß ja was hier so im Netzwerk werkelt und das hänge ich zur Not einfach vom Internet ab bis es gepatcht ist bzw. gar nicht erst ans Internet dran, wie sich das gehört. Aber sagt mal was macht ihr mit euren "Cloud Services" die ihr irgendwo einkauft, schreibt ihr die alle an? Ist ja nicht so das ich da einfach den Stecker ziehen könnte bis ich weiß was Sache ist und noch hat sich keiner meiner Anbieter bei mir gemeldet.
Member: Looser27
Looser27 Dec 13, 2021 at 13:13:48 (UTC)
Goto Top
Member: IceAge
IceAge Dec 13, 2021 at 15:21:57 (UTC)
Goto Top
Hallo Zusammen,

ich denke die wenigsten hier werden direkt von der Lücke betroffen sein. Mich würde aktuell besonders interessieren wie schätzt ihr die Gefahr ein, indirekt betroffen zu sein... z.B. wenn einer eurer Anwender/Clients eine Web-Application auf einem externen kompromitierten Server nutzt und sich über diesen indirekten Weg mit was auch immer infiziert??

Grüße I.
Member: commodity
commodity Dec 13, 2021 at 15:39:03 (UTC)
Goto Top
groß. Wie Kollege @StefanKittel oben schon schrieb: Bei der Arztsoftware ist in einigen Monaten mit einer Reaktion zu rechnen... Lob aber an CGM-Turbomed: Die haben auf konkrete Anfrage binnen kurzer Zeit eine Zwischennachricht gesendet. Alle anderen Angefragten: Schweigen im Walde.

Und ich war auch schon direkt betroffen. Aber nur der Minecraft-Server für die Kids face-wink Freitag Abend schon geschlossen.

Viele Grüße, commodity
Member: Looser27
Looser27 Dec 13, 2021 at 15:44:27 (UTC)
Goto Top
Die größte Gefahr war/ist für uns WebEx. Wird viel genutzt und soweit ich herausgefunden habe bereits gepatched. Alle anderen Dienste sind intern.

Gruß Looser
Member: commodity
commodity Dec 13, 2021 at 17:02:30 (UTC)
Goto Top
Alle anderen Dienste sind intern.
Glück gehabt.

Keine Update-Server?

Viele Grüße, commodity
Member: Looser27
Looser27 Dec 13, 2021 at 17:09:10 (UTC)
Goto Top
Keine Update-Server?

Zumindest keine, die bislang auf irgendwelchen Listen stehen.
Member: leon123
leon123 Dec 13, 2021 at 17:13:44 (UTC)
Goto Top
Habt ihr den VCenter Workaround schon implementiert? Läuft danach noch alles?
VCenter einfach abschalten ist jetzt nicht das was ich unbedingt will. Es läuft dann einfach auch kein Backup mehr.

Unser VCenter ist natürlich nicht von außen erreichbar. Auch ist auch sonst kein Server mehr von außen erreichbar.
--> Was wäre denn ein mögliches Szenario?
Member: Looser27
Looser27 Dec 13, 2021 at 19:17:17 (UTC)
Goto Top
Ich habe den Workaround am vCenter gemacht. Bisher läuft alles noch.
Member: Dirmhirn
Dirmhirn Dec 13, 2021 at 20:15:28 (UTC)
Goto Top
Hi,
Zitat von @IceAge:
ich denke die wenigsten hier werden direkt von der Lücke betroffen sein. Mich würde aktuell besonders interessieren wie schätzt ihr die Gefahr ein, indirekt betroffen zu sein...

Wie seht ihr das? Server hinter firewall die nicht betroffen ist.
Intene User könnten durchaus probieren.
Bzw. Server der aus dem Internet Daten abfragt.

Sg Dirm
Member: commodity
commodity Dec 13, 2021 at 20:34:34 (UTC)
Goto Top
Zitat von @Dirmhirn:
Wie seht ihr das? Server hinter firewall die nicht betroffen ist.
Intene User könnten durchaus probieren.
Bzw. Server der aus dem Internet Daten abfragt.

Jo, stimmt. Muss man wohl im Moment am Schutzlevel ausrichten. Ich verkaufe ner 20-m/f/d-Bürobutze jetzt keinen Hochsicherheitsbereich mit internem Layer7-Filtering (was auch nur sehr begrenzt hülfe). Im vertretbaren Rahmen Schutzlevel hochfahren, ansonsten beobachten (lassen). Und Backup, Backup, Backup. Dennoch kein gutes Gefühl. Aber bange machen bringt auch nichts.

Was sagen denn die teuren UTM-Hersteller? Das wäre doch mal ein usecase...

Viele Grüße, commodity
Member: Looser27
Looser27 Dec 13, 2021 at 20:39:52 (UTC)
Goto Top
Was sagen denn die teuren UTM-Hersteller? Das wäre doch mal ein usecase...

Lancom s.o.
Member: commodity
commodity Dec 13, 2021 at 20:53:30 (UTC)
Goto Top
Zitat von @Looser27:
Lancom s.o.

Nee, das hast Du falsch verstanden. Die sollen nicht (nur) sagen, ob oder dass sie (nicht) betroffen sind,
die sollen beschützen.
Ist doch ihre Aufgabe. Oder hab ich da was verwechselt und es geht mehr ums Kassieren als ums Beschützen?

Viele Grüße, commodity
Member: itstrue
itstrue Dec 13, 2021 at 21:35:13 (UTC)
Goto Top
Heißt das Vorhandensein eines entsprechenden Codestrings, dass der Versuch erfolgreich war, oder dass es ein Versuch war. Ist eine Spielmaschine, gut abgesichert, und nach aktuellem Stand nicht mit gefährdeter Software bestückt.
Member: themuck
themuck Dec 13, 2021 at 21:40:30 (UTC)
Goto Top
"Experten warnten, dass nicht nur Online-Systeme gefährdet seien. Auch etwa ein QR-Scanner oder ein kontaktloses Türschloss könnten angegriffen werden, wenn sie Java und Log4j benutzten, betonte Cloudflare."

Tagesschau.de
Member: itstrue
itstrue Dec 13, 2021 at 21:54:36 (UTC)
Goto Top
Ja das ist mir bekannt, es gibt 10000 offene Tore.

Wie erkenne ich aber, ob es nur ein Scan oder tatsächlich erfolgreich war... s. Frage
Member: ichi1232
ichi1232 Dec 13, 2021 at 21:55:40 (UTC)
Goto Top
Zitat von @IceAge:

Hallo Zusammen,

ich denke die wenigsten hier werden direkt von der Lücke betroffen sein. Mich würde aktuell besonders interessieren wie schätzt ihr die Gefahr ein, indirekt betroffen zu sein... z.B. wenn einer eurer Anwender/Clients eine Web-Application auf einem externen kompromitierten Server nutzt und sich über diesen indirekten Weg mit was auch immer infiziert??

Grüße I.

Die indirekte Betroffenheit wird sich wahrscheinlich nicht sofort zeigen. Das BSI rechnet aber z.B. damit, dass riesige Botnetze gespannt werden. Die Angriffe die dann folgen, werden wahrscheinlich eklig (Spam und Ransomware Wellen, DDoS, etc.)

Die ersten Angriffe sind bei mir gestern schon verzeichnet (aber durch IPS geblockt) worden - also am Sonntag - denkbar schlechte Ausgangssituation für andere Netzwerke.
Member: commodity
commodity Dec 14, 2021 at 08:24:37 (UTC)
Goto Top
Moin,

Hier mal ein aktualisierter Überblick vom NL-NCSC. Software von A-Z face-smile:

https://github.com/NCSC-NL/log4shell/tree/main/software

Viele Grüße, commodity
Member: Looser27
Looser27 Dec 14, 2021 at 08:28:22 (UTC)
Goto Top
Hat schon jemand Informationen von APC erhalten? Deren VM-Appliance läuft mit v2.13.
Ist bei uns zwar hinter der Firewall, aber man weiß ja nie.......

Auf deren Homepage steht bis dato nichts.
Member: commodity
commodity Dec 14, 2021 updated at 09:06:34 (UTC)
Goto Top
Verbiete ihr einfach das Connecten nach außen, dann sollte die bestehende Verwundbarkeit kein Problem sein (solange der Angriff nicht von innen kommt). Aber in Dein Management-Lan kommt ja auch keiner so ohne Weiteres.

Viele Grüße, commodity
Member: SirEistee
SirEistee Dec 14, 2021 at 09:12:32 (UTC)
Goto Top
Zitat von @Looser27:

Starface prüft gerade, ob deren Anlagen in den unterschiedlichen Versionsständen betroffen sind.

Moin,

gibt's hierzu was Neues?
Member: leon123
leon123 Dec 14, 2021 at 09:18:26 (UTC)
Goto Top
SQL Server 2019, hier gibt es auch die Version 1.2.17...

Hier gefunden:
S:\Program Files\Microsoft SQL Server\150\DTS\Extensions\Common\Jars

Kommt da noch was?
Member: Looser27
Looser27 Dec 14, 2021 at 09:29:19 (UTC)
Goto Top
Zitat von @SirEistee:

Zitat von @Looser27:

Starface prüft gerade, ob deren Anlagen in den unterschiedlichen Versionsständen betroffen sind.

Moin,

gibt's hierzu was Neues?

Im Support Forum von Starface ist zu entnehmen, dass deren Anlagen (Cloud und onPremise) nicht betroffen sein sollen.
Member: commodity
commodity Dec 14, 2021 updated at 09:32:10 (UTC)
Goto Top
Zitat von @leon123:
Kommt da noch was?
nein
screen-shot-2021-12-13-at-12.18.47-pm
Member: ukulele-7
ukulele-7 Dec 14, 2021 at 09:32:55 (UTC)
Goto Top
ELO nimmt für sich in Anspruch auch nicht betroffen zu sein, weil noch Log4j Version 1 genutzt wird. Will aber auch Änderungen vornehmen und die Sache beobachten.
Member: commodity
commodity Dec 14, 2021 updated at 09:35:31 (UTC)
Goto Top
Die Quelle sollte über jeden Zweifel erhaben sein face-wink
Zumindest geht näher dran nicht.

Viele Grüße, commodity
Member: em-pie
em-pie Dec 14, 2021 at 09:39:26 (UTC)
Goto Top
Moin,

Igel hat soeben auch Feedback gegeben (per E-Mail):
Member: SirEistee
SirEistee Dec 14, 2021 at 09:59:28 (UTC)
Goto Top
Im LanSweeper lässt sich ein Report zur Schwachstelle erstellen, der dann potenzielle Software aufzeigt.

LanSweeper Beitrag
Report zum Kopieren
Mitglied: 90948
90948 Dec 14, 2021 at 10:15:10 (UTC)
Goto Top
Hi,

FlowChief Prozessleitsystem, QNAP QTS System und Aagoon Client Manager sind nicht betroffen
Member: leon123
leon123 Dec 14, 2021 updated at 10:52:26 (UTC)
Goto Top
Zitat von @commodity:

Zitat von @leon123:
Kommt da noch was?
nein


Danke, das BSI hat mich dahingehend nur etwas beunruhigt.
Entgegen der anderslautenden ursprünglichen Annahme ist Berichten zufolge die Programmbibliothek auch
in den Versionen 1.x verwundbar. In diesen Fällen sei die Verwundbarkeit jedoch nur über eine schadhafte
Programmkonfiguration ausnutzbar, sodass eine Ausnutzung weit weniger wahrscheinlich erscheint. [GIT2021d

Member: Looser27
Looser27 Dec 15, 2021 updated at 08:26:39 (UTC)
Goto Top
Member: Looser27
Looser27 Dec 15, 2021 at 08:29:35 (UTC)
Goto Top
Member: manuel-r
manuel-r Dec 15, 2021 at 09:14:15 (UTC)
Goto Top
Hat den hier schon jemand gepostet? https://log4j-tester.trendmicro.com/

Der Disclaimer ist zwar sinngemäß "Wenn du hier was sieht schau genauer nach. Und wenn nicht schau trotzdem nach." Es kann aber ja auch nicht schaden seine externen Dienste einfach mal damit abzuklopfen.

Manuel
Member: manuel-r
manuel-r Dec 15, 2021 at 12:24:11 (UTC)
Goto Top
heise.de

Neue Probleme - Log4j-Patch genügt nicht
Version 2.15.0 von Log4j sollte die Log4Shell-Sicherheitslücke schließen. Das reichte jedoch nicht. Log4j 2.16.0 behebt nun noch eine weitere Schwachstelle.

https://www.heise.de/news/Neue-Probleme-Log4j-Patch-genuegt-nicht-629534 ...
Member: em-pie
em-pie Dec 15, 2021 at 21:07:44 (UTC)
Goto Top
Hier ist mal der Ablauf/ Prozess ein wenig beschrieben:

https://www.govcert.ch/blog/zero-day-exploit-targeting-popular-java-libr ...
Member: Looser27
Looser27 Dec 16, 2021 at 09:04:25 (UTC)
Goto Top
Es gibt für den Unifi Controller ein weiteres Update, welches installiert werden sollte.

Hier wird log4j dann auf Version 2.16 gepatched.
Member: Trommel
Trommel Dec 16, 2021 at 11:01:02 (UTC)
Goto Top
Bobby Tables 2.0 sozusagen

kennzbt
Member: Trommel
Trommel Dec 16, 2021 updated at 11:21:49 (UTC)
Goto Top
Hier sind übrigens noch ein paar interessante Links.

Ursprünglicher JNDI resource lookup Thread
https://issues.apache.org/jira/browse/LOG4J2-313

EDIT:
Zitat: "JNDI lookup in it self is not a problem, problem is that user input is not sanitised and can include templates which can have JNDI lookup in them. I would expect user input with {} template symbols to be escaped and not evaluated."
Quelle aus interessanter Diskussion: https://news.ycombinator.com/item?id=29507357

Nachfrage nach Disable Lookup in Messages (2015 ganz unten)
https://issues.apache.org/jira/browse/LOG4J2-905

Entstehung log4j2.formatMsgNoLookups
https://issues.apache.org/jira/browse/LOG4J2-2109

Hier ist jemand schon mal über das Problem gestolpert
https://www.tasktop.com/blog-under-construction/log4j-2-the-ghost-in-the ...

Mahlzeit.
Member: commodity
commodity Dec 16, 2021 updated at 20:37:32 (UTC)
Goto Top
Hier mal wieder eine Liste (CISA) möglicher Weise betroffener Software. Sieht eindrucksvoll aus.

https://github.com/cisagov/log4j-affected-db

und vorsorglich auch nochmal die oben bereits verlinkte Liste des NCSC, die auch noch gewachsen ist.

https://github.com/NCSC-NL/log4shell/blob/main/software/README.md

Beide sind nicht deckungsgleich.

Wer hat da kein Mitgefühl mit den Kollegen/Entwicklern, die das alles patchen dürfen. 8 Tage vor Weihnachten wünscht man sich sicher was anderes.

Viele Grüße, commodity
Member: em-pie
em-pie Dec 16, 2021 at 20:36:38 (UTC)
Goto Top
Beeindruckend, in der Tat.

Elasticsearch ist somit doch betroffen.
Und die Siemens-Software hatte ich gar nicht auf dem Schirm face-confused
Member: em-pie
em-pie Dec 16, 2021 at 21:20:39 (UTC)
Goto Top
Update bei Igel:

Mitglied: 90948
90948 Dec 17, 2021 at 06:03:30 (UTC)
Goto Top
Für Docusnap u.a. gibt es ein Workaround wie man betroffene Systeme finden kann

https://www.docusnap.com/it-dokumentation/log4j-luecke-was-macht-sie-so- ...
Member: Trommel
Trommel Dec 17, 2021 updated at 10:04:56 (UTC)
Goto Top
Zitat von @commodity:

Hier mal wieder eine Liste (CISA) möglicher Weise betroffener Software. Sieht eindrucksvoll aus.

https://github.com/cisagov/log4j-affected-db

und vorsorglich auch nochmal die oben bereits verlinkte Liste des NCSC, die auch noch gewachsen ist.

https://github.com/NCSC-NL/log4shell/blob/main/software/README.md

Beide sind nicht deckungsgleich.

Wer hat da kein Mitgefühl mit den Kollegen/Entwicklern, die das alles patchen dürfen. 8 Tage vor Weihnachten wünscht man sich sicher was anderes.

Viele Grüße, commodity

Oha, richtig .. da wird @aqui viel zutun haben seine ganzen Ubiquiti UniFi Network Controller zu patchen face-wink
Member: ukulele-7
ukulele-7 Dec 17, 2021 updated at 12:07:32 (UTC)
Goto Top
ELO schreibt jetzt etwas konkreter:
Sehr geehrte ELO Kunden,

eine kürzlich bekannt gewordene Sicherheitslücke in der Java-Bibliothek Log4j gefährdet weltweit Millionen Onlineanwendungen. Die Schwachstelle CVE-2021-44228 für die Protokollierung von Ereignissen kann zur Remote-Ausführung von Code durch Dritte führen.

Von ELO entwickelte Server-Dienste, die u. a. unsere öffentliche API bereitstellen und potenziell im Internet verfügbar sind, setzen Log4j in der Version 2 nicht ein und sind somit nicht betroffen. Leider ist jedoch die aktuelle ElasticSearch-Version (ab ELO 10), der ELO Java Client (ab ELO 10) sowie ELO BLP in Version 5.2 potenziell betroffen.

Sicherheitsexperten weltweit arbeiten gerade mit Hochdruck an der Analyse. Wir empfehlen daher in jedem Fall, auf die von uns bereitgestellten, aktuellen Versionen zu aktualisieren und unsere Handlungsempfehlungen, die auch Ihrem Business Partner vorliegen, umzusetzen.

Bitte kontaktieren Sie daher umgehend Ihre interne IT und das betreuende ELO Systemhaus. Weitere Hinweise finden Sie auch hier.


Mit freundlichen Grüßen
ELO Digital Office

Member: commodity
commodity Dec 21, 2021 at 12:16:29 (UTC)
Goto Top
Jetzt geht's lohos! (log4j noch nicht bestätigt):

https://administrator.de/knowledge/ransomware-bei-cgm-1643572754.html

Viele Grüße, commodity
Member: Looser27
Looser27 Dec 22, 2021 updated at 07:16:46 (UTC)
Goto Top
Kam gestern von GFI bzgl. Kerio Connect:


Heute morgen eingespielt.
Member: chgorges
chgorges Dec 23, 2021 at 11:53:15 (UTC)
Goto Top
Moin,

um das Thema auf dem Laufenden zu halten -> Log4j-core 2.16.0 ist auch anfällig; wird in CVE-2021-45105 dokumentiert.

UniFi hat noch kein Controllerupdate rausgegeben, die manuelle Updateanleitung gibts hier https://think.unblog.ch/en/how-to-fix-unifi-controller-log4j-vulnerabili ...

Wenn man schon auf Controller v6.5.55 ist, einfach die Stellen im Skript mit "2.13.3" mit "2.16.0" ersetzen.

VG
Member: SirEistee
SirEistee Dec 23, 2021 at 13:26:54 (UTC)
Goto Top
Zitat von @chgorges:

Moin,

um das Thema auf dem Laufenden zu halten -> Log4j-core 2.16.0 ist auch anfällig; wird in CVE-2021-45105 dokumentiert.

UniFi hat noch kein Controllerupdate rausgegeben, die manuelle Updateanleitung gibts hier https://think.unblog.ch/en/how-to-fix-unifi-controller-log4j-vulnerabili ...

Wenn man schon auf Controller v6.5.55 ist, einfach die Stellen im Skript mit "2.13.3" mit "2.16.0" ersetzen.

VG

2.16 auch?
Man dachte, man wäre mit 2.15 (halbwegs) auf der sicheren Seite.