Log4j Sicherheitslücke kleiner V2.15 Kategorie 4 CVE-2021-44228

theoberlin
article-picture
Hallo zusammen,

die Versionen von Log4j < 2.15 sind gegen eine Schwachstelle vulnerabel. Das BSI hat die Sicherheitslücke als Kategorie 4 eingestuft. Sie ist sehr leicht ausnutzbar.

Hier noch ein paar Links dazu:

cve.mitre.org CVE-2021-44228

CVE-2021-44228 Log4J-Lücke bedroht Minecraft und viele weitere Anwendungen
Warnstufe Rot: Log4j-Zero-Day-Lücke bedroht Heimanwender und Firmen
Schutz vor schwerwiegender Log4j-Lücke - was jetzt hilft und was nicht

lg
Theo

Content-Key: 1611160059

Url: https://administrator.de/contentid/1611160059

Ausgedruckt am: 28.01.2022 um 21:01 Uhr

Mitglied: StefanKittel
StefanKittel 12.12.2021 um 10:04:39 Uhr
Goto Top
<satire>Dann können wir ja mal davon ausgehen, dass es im medizinischen Bereich schnellstens Update geben wird. Also in ca. 6-8 Monaten.</satire>
Mitglied: commodity
commodity 12.12.2021 aktualisiert um 11:01:41 Uhr
Goto Top
Danke für den Post. Ich kam leider noch nicht dazu. Die Lücke fackelt schon seit zwei Tagen fleißig im Netz und es ist eine Fülle von Diensten betroffen (Stand jetzt). Das Ausmaß ist noch gar nicht abzusehen.

Hier mal ein kurzer Überblick, welche - prominenten - Dienste schon jetzt bekannt sind:

https://github.com/YfryTchsGD/Log4jAttackSurface#the-list

Für die Kollegen, die VMWare einsetzen, dürfte ein bisschen Arbeit anstehen...

Stay tuned!

Viele Grüße, commodity
Mitglied: em-pie
em-pie 12.12.2021 um 11:38:49 Uhr
Goto Top
Ich freu mich. Weihnachten gerettet :-( face-sad

Und wenn man noch bedenkt, wie wie viele Apaches auf „irgendwelchen“ Firewalls/ UTMs zum Einsatz kommen…
Mitglied: commodity
commodity 12.12.2021 aktualisiert um 11:46:15 Uhr
Goto Top
Nein, der Webserver Apache ist nicht betroffen. Bitte erst die Feeds lesen, dann klagen ;-) face-wink

Aber das, was betroffen ist, dürfte für die nächsten Wochen reichen.

Viele Grüße, commodity
Mitglied: 148848
148848 12.12.2021 aktualisiert um 12:06:47 Uhr
Goto Top
Moin,

Nein, der Webserver Apache ist nicht betroffen. Bitte erst die Feeds lesen, dann klagen ;-) face-wink face-wink

Wer sagt, dass @em-pie den Apache HTTP Server meint? ;-) face-wink

Der HTTP Server ist ja nur ein Produkt von vielen von der Apache Software Foundation.
Und von der Lücke sind einige Apache Produkte betroffen. Insofern hat er da durchaus recht.

MfG
Mitglied: ichi1232
ichi1232 12.12.2021 um 14:21:46 Uhr
Goto Top
Zitat von @commodity:

Danke für den Post. Ich kam leider noch nicht dazu. Die Lücke fackelt schon seit zwei Tagen fleißig im Netz und es ist eine Fülle von Diensten betroffen (Stand jetzt). Das Ausmaß ist noch gar nicht abzusehen.

Hier mal ein kurzer Überblick, welche - prominenten - Dienste schon jetzt bekannt sind:

https://github.com/YfryTchsGD/Log4jAttackSurface#the-list

Für die Kollegen, die VMWare einsetzen, dürfte ein bisschen Arbeit anstehen...

Stay tuned!

Viele Grüße, commodity

Ich frage mich ernsthaft, in welchem dunklen Szenarien VMware Hosts / VCenter Appliances von solchen Angriffen betroffen sein könnten. (?)

Natürlich sollten die Patches schnellstmöglich eingespielt werden, das steht außer Frage.
Ich bin dennoch der Meinung, dass das Risiko schwindend gering ist, wenn alle anderen Maßnahmen umgesetzt sind (Netztrennung, Isolierung, 802.1x, etc. pp.). Den ausgebrannten und bereits gekündigten Administrator mit 2 Häusern und 15 Kindern lasse ich als inneren Angreifer jetzt mal außen vor.

Gibt es Angriffsmöglichkeiten die ich evtl. nicht bedacht habe?
Mitglied: commodity
commodity 12.12.2021 aktualisiert um 21:01:39 Uhr
Goto Top
Zitat von @148848:
Wer sagt, dass @em-pie den Apache HTTP Server meint? ;-) face-wink
... von der Lücke sind einige Apache Produkte betroffen.

In einem Forum kann man natürlich faktenfern bleiben. Wenn Techniker über Sicherheit reden, finde ich das aber bedenklich. Wenn Du die Liste der betroffenen Apache-Software gelesen/verstanden hättest, würdest Du nicht so einen oberflächlichen Nonsens schreiben. Keine der betroffenen Apache-Software - Apache Solr, Apache Druid, Apache Flink oder Apache Struts2 sehe ich auf einer Firewall. Webserver hingegen alle Tage. Geht das nur mir so? Was also wird der Kollege @em-pie gemeint haben? Ist doch auch gar nicht schlimm. Ist ja Sonntag.

Ich mag mich irren. Korrigier mich gern, wenn Du einen Anwendungsfall für eine Firewall kennst. Ich lerne immer gern dazu. Aber bitte nicht faktenfrei ;-) face-wink Ist zwar derzeit modern, hat aber in der IT nichts zu suchen. Voodoo ist woanders.

Viele Grüße, commodity
Mitglied: em-pie
em-pie 12.12.2021 um 21:35:41 Uhr
Goto Top
Tatsächlich hab ich fälschlicherweise den Webserver im Kopf gehabt. Muss aber zu meiner „Verteidigung“ sagen: den Artikel hatte ich bereits weit vor diesem Thread gelesen und mir scheinbar nur „Apache“ behalten.

Asche auf mein Haupt. Ich werd besser mal zum Hausmeister umschulen :-) face-smile
Mitglied: theoberlin
theoberlin 12.12.2021 um 23:17:26 Uhr
Goto Top
Lass mal em-pie, ich hab es auch erst auf den Apache Webserver bezogen und dann nochmal schnell den Betreff geändert 😁
Mitglied: themuck
themuck 13.12.2021 um 09:21:24 Uhr
Goto Top
Weil es nicht in der Liste ist... es betrifft zum Beispiel auch Kommerzielle Asterisk Voip anlagen ;)...
Mitglied: Looser27
Looser27 13.12.2021 aktualisiert um 09:39:48 Uhr
Goto Top
Moin,

VMWare hat hier u.a. einen Workaround für das vCenter veröffentlicht :
https://kb.vmware.com/s/article/87081?lang=en_US

Gruß

Looser

Edit:

Hier noch die Liste von der HP von vmware:
https://www.vmware.com/security/advisories/VMSA-2021-0028.html
Mitglied: manuel-r
manuel-r 13.12.2021 um 09:49:04 Uhr
Goto Top
Zitat von @themuck:

Weil es nicht in der Liste ist... es betrifft zum Beispiel auch Kommerzielle Asterisk Voip anlagen ;)...

Zumindest 3CX sagt "Nein, kein Java und deshalb auch kein log4j"

Manuel
Mitglied: Looser27
Looser27 13.12.2021 um 09:56:54 Uhr
Goto Top
Unifi hat bereits ein Update veröffentlicht für die betroffene Controller-Software.
Mitglied: commodity
commodity 13.12.2021 aktualisiert um 10:04:45 Uhr
Goto Top
Zitat von @themuck:

Weil es nicht in der Liste ist... es betrifft zum Beispiel auch Kommerzielle Asterisk Voip anlagen ;)...

Bitte präziser. Diese Info, selbst wenn es zutreffen würde, viel zu pauschal.

- Fundstelle?
- Kontext?
Mitglied: Looser27
Looser27 13.12.2021 um 10:03:37 Uhr
Goto Top
Starface prüft gerade, ob deren Anlagen in den unterschiedlichen Versionsständen betroffen sind.
Mitglied: themuck
themuck 13.12.2021 um 10:03:41 Uhr
Goto Top
Zitat von @commodity:

Zitat von @themuck:

Weil es nicht in der Liste ist... es betrifft zum Beispiel auch Kommerzielle Asterisk Voip anlagen ;)...

Bitte präziser.

- Fundstelle?
- Kontext?

Viele Grüße, commodity

https://www.pascom.net/forum/t/official-information-on-log4j-security-vu ...
Mitglied: commodity
commodity 13.12.2021 um 10:05:03 Uhr
Goto Top
Zitat von @em-pie:
Asche auf mein Haupt.
Quatsch, passiert doch jedem hier mal auf die schnelle. Wollte nur vermeiden, dass sich Panikmeldungen verbreiten.

Viele Grüße, commodity
Mitglied: Looser27
Looser27 13.12.2021 um 10:05:04 Uhr
Goto Top
Zitat von @themuck:

Zitat von @commodity:

Zitat von @themuck:

Weil es nicht in der Liste ist... es betrifft zum Beispiel auch Kommerzielle Asterisk Voip anlagen ;)...

Bitte präziser.

- Fundstelle?
- Kontext?

Viele Grüße, commodity

https://www.pascom.net/forum/t/official-information-on-log4j-security-vu ...

Das betrifft aber erstmal nur deren Anlagen und sollte nicht verallgemeinert werden. Die anderen Hersteller werden sich schon noch äußern.
Mitglied: commodity
commodity 13.12.2021 aktualisiert um 10:07:28 Uhr
Goto Top

Danke, ich sehe allerdings nur eine Anlage. Mehr?

Anmerkung: Es wird noch ganz viel hochkommen. Pauschale Posts bringen nichts. Arbeiten können wir nur mit präzisen Infos.

Viele Grüße, commodity
Mitglied: commodity
commodity 13.12.2021 um 10:13:59 Uhr
Goto Top
Ergänzung zur obigen Liste: Die auch bei Heise verlinkte advisory-list (wird fortlaufend aktualisiert):

https://gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592

Viele Grüße, commodity
Mitglied: themuck
themuck 13.12.2021 um 10:17:02 Uhr
Goto Top
Zitat von @commodity:

Anmerkung: Es wird noch ganz viel hochkommen. Pauschale Posts bringen nichts. Arbeiten können wir nur mit präzisen Infos.

Viele Grüße, commodity

Das ist mir schon klar... ich wollte eigentlich nur dazu anregen das Leute die so eine Anlage betreiben einfach nach schauen was ihr Anbieter dazu sagt... Eventuell hat man sowas ja nicht sofort auf dem Schirm.
Mitglied: em-pie
em-pie 13.12.2021 um 10:42:24 Uhr
Goto Top
ElasticSearch ist im übrigen dahingehend "interessant", da es die erweiterte Suchfunktion vieler Wikis ist.

Zumindest bin ich in dem Kontext auf ElasticSearch aufmerksam geworden, bin mir aber ziemlich sicher, dass es nicht nur in den verschiedenen Wikis zum Einsatz kommt.

Also auch eine Auge auf die Systeme haben, die zwar nicht direkt irgendwo gelistet werden, aber aufgeführte Dienste als Bausteine "unter der Haube" einsetzen...
Mitglied: StefanKittel
StefanKittel 13.12.2021 um 11:22:49 Uhr
Goto Top
Mitglied: em-pie
em-pie 13.12.2021 um 14:10:11 Uhr
Goto Top

Mal im Auge behalten...

@all.
Hier noch ein Dokument des BSI
https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2021/202 ...
Mitglied: ukulele-7
ukulele-7 13.12.2021 um 14:11:46 Uhr
Goto Top
Also ich weiß ja was hier so im Netzwerk werkelt und das hänge ich zur Not einfach vom Internet ab bis es gepatcht ist bzw. gar nicht erst ans Internet dran, wie sich das gehört. Aber sagt mal was macht ihr mit euren "Cloud Services" die ihr irgendwo einkauft, schreibt ihr die alle an? Ist ja nicht so das ich da einfach den Stecker ziehen könnte bis ich weiß was Sache ist und noch hat sich keiner meiner Anbieter bei mir gemeldet.
Mitglied: Looser27
Looser27 13.12.2021 um 14:13:48 Uhr
Goto Top
Mitglied: IceAge
IceAge 13.12.2021 um 16:21:57 Uhr
Goto Top
Hallo Zusammen,

ich denke die wenigsten hier werden direkt von der Lücke betroffen sein. Mich würde aktuell besonders interessieren wie schätzt ihr die Gefahr ein, indirekt betroffen zu sein... z.B. wenn einer eurer Anwender/Clients eine Web-Application auf einem externen kompromitierten Server nutzt und sich über diesen indirekten Weg mit was auch immer infiziert??

Grüße I.
Mitglied: commodity
commodity 13.12.2021 um 16:39:03 Uhr
Goto Top
groß. Wie Kollege @StefanKittel oben schon schrieb: Bei der Arztsoftware ist in einigen Monaten mit einer Reaktion zu rechnen... Lob aber an CGM-Turbomed: Die haben auf konkrete Anfrage binnen kurzer Zeit eine Zwischennachricht gesendet. Alle anderen Angefragten: Schweigen im Walde.

Und ich war auch schon direkt betroffen. Aber nur der Minecraft-Server für die Kids ;-) face-wink Freitag Abend schon geschlossen.

Viele Grüße, commodity
Mitglied: Looser27
Looser27 13.12.2021 um 16:44:27 Uhr
Goto Top
Die größte Gefahr war/ist für uns WebEx. Wird viel genutzt und soweit ich herausgefunden habe bereits gepatched. Alle anderen Dienste sind intern.

Gruß Looser
Mitglied: commodity
commodity 13.12.2021 um 18:02:30 Uhr
Goto Top
Alle anderen Dienste sind intern.
Glück gehabt.

Keine Update-Server?

Viele Grüße, commodity
Mitglied: Looser27
Looser27 13.12.2021 um 18:09:10 Uhr
Goto Top
Keine Update-Server?

Zumindest keine, die bislang auf irgendwelchen Listen stehen.
Mitglied: leon123
leon123 13.12.2021 um 18:13:44 Uhr
Goto Top
Habt ihr den VCenter Workaround schon implementiert? Läuft danach noch alles?
VCenter einfach abschalten ist jetzt nicht das was ich unbedingt will. Es läuft dann einfach auch kein Backup mehr.

Unser VCenter ist natürlich nicht von außen erreichbar. Auch ist auch sonst kein Server mehr von außen erreichbar.
--> Was wäre denn ein mögliches Szenario?
Mitglied: Looser27
Looser27 13.12.2021 um 20:17:17 Uhr
Goto Top
Ich habe den Workaround am vCenter gemacht. Bisher läuft alles noch.
Mitglied: Dirmhirn
Dirmhirn 13.12.2021 um 21:15:28 Uhr
Goto Top
Hi,
Zitat von @IceAge:
ich denke die wenigsten hier werden direkt von der Lücke betroffen sein. Mich würde aktuell besonders interessieren wie schätzt ihr die Gefahr ein, indirekt betroffen zu sein...

Wie seht ihr das? Server hinter firewall die nicht betroffen ist.
Intene User könnten durchaus probieren.
Bzw. Server der aus dem Internet Daten abfragt.

Sg Dirm
Mitglied: commodity
commodity 13.12.2021 um 21:34:34 Uhr
Goto Top
Zitat von @Dirmhirn:
Wie seht ihr das? Server hinter firewall die nicht betroffen ist.
Intene User könnten durchaus probieren.
Bzw. Server der aus dem Internet Daten abfragt.

Jo, stimmt. Muss man wohl im Moment am Schutzlevel ausrichten. Ich verkaufe ner 20-m/f/d-Bürobutze jetzt keinen Hochsicherheitsbereich mit internem Layer7-Filtering (was auch nur sehr begrenzt hülfe). Im vertretbaren Rahmen Schutzlevel hochfahren, ansonsten beobachten (lassen). Und Backup, Backup, Backup. Dennoch kein gutes Gefühl. Aber bange machen bringt auch nichts.

Was sagen denn die teuren UTM-Hersteller? Das wäre doch mal ein usecase...

Viele Grüße, commodity
Mitglied: Looser27
Looser27 13.12.2021 um 21:39:52 Uhr
Goto Top
Was sagen denn die teuren UTM-Hersteller? Das wäre doch mal ein usecase...

Lancom s.o.
Mitglied: commodity
commodity 13.12.2021 um 21:53:30 Uhr
Goto Top
Zitat von @Looser27:
Lancom s.o.

Nee, das hast Du falsch verstanden. Die sollen nicht (nur) sagen, ob oder dass sie (nicht) betroffen sind,
die sollen beschützen.
Ist doch ihre Aufgabe. Oder hab ich da was verwechselt und es geht mehr ums Kassieren als ums Beschützen?

Viele Grüße, commodity
Mitglied: itstrue
itstrue 13.12.2021 um 22:35:13 Uhr
Goto Top
Heißt das Vorhandensein eines entsprechenden Codestrings, dass der Versuch erfolgreich war, oder dass es ein Versuch war. Ist eine Spielmaschine, gut abgesichert, und nach aktuellem Stand nicht mit gefährdeter Software bestückt.
Mitglied: themuck
themuck 13.12.2021 um 22:40:30 Uhr
Goto Top
"Experten warnten, dass nicht nur Online-Systeme gefährdet seien. Auch etwa ein QR-Scanner oder ein kontaktloses Türschloss könnten angegriffen werden, wenn sie Java und Log4j benutzten, betonte Cloudflare."

Tagesschau.de
Mitglied: itstrue
itstrue 13.12.2021 um 22:54:36 Uhr
Goto Top
Ja das ist mir bekannt, es gibt 10000 offene Tore.

Wie erkenne ich aber, ob es nur ein Scan oder tatsächlich erfolgreich war... s. Frage
Mitglied: ichi1232
ichi1232 13.12.2021 um 22:55:40 Uhr
Goto Top
Zitat von @IceAge:

Hallo Zusammen,

ich denke die wenigsten hier werden direkt von der Lücke betroffen sein. Mich würde aktuell besonders interessieren wie schätzt ihr die Gefahr ein, indirekt betroffen zu sein... z.B. wenn einer eurer Anwender/Clients eine Web-Application auf einem externen kompromitierten Server nutzt und sich über diesen indirekten Weg mit was auch immer infiziert??

Grüße I.

Die indirekte Betroffenheit wird sich wahrscheinlich nicht sofort zeigen. Das BSI rechnet aber z.B. damit, dass riesige Botnetze gespannt werden. Die Angriffe die dann folgen, werden wahrscheinlich eklig (Spam und Ransomware Wellen, DDoS, etc.)

Die ersten Angriffe sind bei mir gestern schon verzeichnet (aber durch IPS geblockt) worden - also am Sonntag - denkbar schlechte Ausgangssituation für andere Netzwerke.
Mitglied: commodity
commodity 14.12.2021 um 09:24:37 Uhr
Goto Top
Moin,

Hier mal ein aktualisierter Überblick vom NL-NCSC. Software von A-Z :-) face-smile:

https://github.com/NCSC-NL/log4shell/tree/main/software

Viele Grüße, commodity
Mitglied: Looser27
Looser27 14.12.2021 um 09:28:22 Uhr
Goto Top
Hat schon jemand Informationen von APC erhalten? Deren VM-Appliance läuft mit v2.13.
Ist bei uns zwar hinter der Firewall, aber man weiß ja nie.......

Auf deren Homepage steht bis dato nichts.
Mitglied: commodity
commodity 14.12.2021 aktualisiert um 10:06:34 Uhr
Goto Top
Verbiete ihr einfach das Connecten nach außen, dann sollte die bestehende Verwundbarkeit kein Problem sein (solange der Angriff nicht von innen kommt). Aber in Dein Management-Lan kommt ja auch keiner so ohne Weiteres.

Viele Grüße, commodity
Mitglied: SirEistee
SirEistee 14.12.2021 um 10:12:32 Uhr
Goto Top
Zitat von @Looser27:

Starface prüft gerade, ob deren Anlagen in den unterschiedlichen Versionsständen betroffen sind.

Moin,

gibt's hierzu was Neues?
Mitglied: leon123
leon123 14.12.2021 um 10:18:26 Uhr
Goto Top
SQL Server 2019, hier gibt es auch die Version 1.2.17...

Hier gefunden:
S:\Program Files\Microsoft SQL Server\150\DTS\Extensions\Common\Jars

Kommt da noch was?
Mitglied: Looser27
Looser27 14.12.2021 um 10:29:19 Uhr
Goto Top
Zitat von @SirEistee:

Zitat von @Looser27:

Starface prüft gerade, ob deren Anlagen in den unterschiedlichen Versionsständen betroffen sind.

Moin,

gibt's hierzu was Neues?

Im Support Forum von Starface ist zu entnehmen, dass deren Anlagen (Cloud und onPremise) nicht betroffen sein sollen.
Mitglied: commodity
commodity 14.12.2021 aktualisiert um 10:32:10 Uhr
Goto Top
Zitat von @leon123:
Kommt da noch was?
nein
screen-shot-2021-12-13-at-12.18.47-pm
Mitglied: ukulele-7
ukulele-7 14.12.2021 um 10:32:55 Uhr
Goto Top
ELO nimmt für sich in Anspruch auch nicht betroffen zu sein, weil noch Log4j Version 1 genutzt wird. Will aber auch Änderungen vornehmen und die Sache beobachten.
Mitglied: commodity
commodity 14.12.2021 aktualisiert um 10:35:31 Uhr
Goto Top
Die Quelle sollte über jeden Zweifel erhaben sein ;-) face-wink
Zumindest geht näher dran nicht.

Viele Grüße, commodity
Mitglied: em-pie
em-pie 14.12.2021 um 10:39:26 Uhr
Goto Top
Moin,

Igel hat soeben auch Feedback gegeben (per E-Mail):
Mitglied: SirEistee
SirEistee 14.12.2021 um 10:59:28 Uhr
Goto Top
Im LanSweeper lässt sich ein Report zur Schwachstelle erstellen, der dann potenzielle Software aufzeigt.

LanSweeper Beitrag
Report zum Kopieren
Mitglied: Reini82
Reini82 14.12.2021 um 11:15:10 Uhr
Goto Top
Hi,

FlowChief Prozessleitsystem, QNAP QTS System und Aagoon Client Manager sind nicht betroffen
Mitglied: leon123
leon123 14.12.2021 aktualisiert um 11:52:26 Uhr
Goto Top
Zitat von @commodity:

Zitat von @leon123:
Kommt da noch was?
nein


Danke, das BSI hat mich dahingehend nur etwas beunruhigt.
Entgegen der anderslautenden ursprünglichen Annahme ist Berichten zufolge die Programmbibliothek auch
in den Versionen 1.x verwundbar. In diesen Fällen sei die Verwundbarkeit jedoch nur über eine schadhafte
Programmkonfiguration ausnutzbar, sodass eine Ausnutzung weit weniger wahrscheinlich erscheint. [GIT2021d

Mitglied: Looser27
Looser27 15.12.2021 aktualisiert um 09:26:39 Uhr
Goto Top
Mitglied: Looser27
Looser27 15.12.2021 um 09:29:35 Uhr
Goto Top
Mitglied: manuel-r
manuel-r 15.12.2021 um 10:14:15 Uhr
Goto Top
Hat den hier schon jemand gepostet? https://log4j-tester.trendmicro.com/

Der Disclaimer ist zwar sinngemäß "Wenn du hier was sieht schau genauer nach. Und wenn nicht schau trotzdem nach." Es kann aber ja auch nicht schaden seine externen Dienste einfach mal damit abzuklopfen.

Manuel
Mitglied: manuel-r
manuel-r 15.12.2021 um 13:24:11 Uhr
Goto Top
heise.de

Neue Probleme - Log4j-Patch genügt nicht
Version 2.15.0 von Log4j sollte die Log4Shell-Sicherheitslücke schließen. Das reichte jedoch nicht. Log4j 2.16.0 behebt nun noch eine weitere Schwachstelle.

https://www.heise.de/news/Neue-Probleme-Log4j-Patch-genuegt-nicht-629534 ...
Mitglied: em-pie
em-pie 15.12.2021 um 22:07:44 Uhr
Goto Top
Hier ist mal der Ablauf/ Prozess ein wenig beschrieben:

https://www.govcert.ch/blog/zero-day-exploit-targeting-popular-java-libr ...
Mitglied: Looser27
Looser27 16.12.2021 um 10:04:25 Uhr
Goto Top
Es gibt für den Unifi Controller ein weiteres Update, welches installiert werden sollte.

Hier wird log4j dann auf Version 2.16 gepatched.
Mitglied: Trommel
Trommel 16.12.2021 um 12:01:02 Uhr
Goto Top
Bobby Tables 2.0 sozusagen

kennzbt
Mitglied: Trommel
Trommel 16.12.2021 aktualisiert um 12:21:49 Uhr
Goto Top
Hier sind übrigens noch ein paar interessante Links.

Ursprünglicher JNDI resource lookup Thread
https://issues.apache.org/jira/browse/LOG4J2-313

EDIT:
Zitat: "JNDI lookup in it self is not a problem, problem is that user input is not sanitised and can include templates which can have JNDI lookup in them. I would expect user input with {} template symbols to be escaped and not evaluated."
Quelle aus interessanter Diskussion: https://news.ycombinator.com/item?id=29507357

Nachfrage nach Disable Lookup in Messages (2015 ganz unten)
https://issues.apache.org/jira/browse/LOG4J2-905

Entstehung log4j2.formatMsgNoLookups
https://issues.apache.org/jira/browse/LOG4J2-2109

Hier ist jemand schon mal über das Problem gestolpert
https://www.tasktop.com/blog-under-construction/log4j-2-the-ghost-in-the ...

Mahlzeit.
Mitglied: commodity
commodity 16.12.2021 aktualisiert um 21:37:32 Uhr
Goto Top
Hier mal wieder eine Liste (CISA) möglicher Weise betroffener Software. Sieht eindrucksvoll aus.

https://github.com/cisagov/log4j-affected-db

und vorsorglich auch nochmal die oben bereits verlinkte Liste des NCSC, die auch noch gewachsen ist.

https://github.com/NCSC-NL/log4shell/blob/main/software/README.md

Beide sind nicht deckungsgleich.

Wer hat da kein Mitgefühl mit den Kollegen/Entwicklern, die das alles patchen dürfen. 8 Tage vor Weihnachten wünscht man sich sicher was anderes.

Viele Grüße, commodity
Mitglied: em-pie
em-pie 16.12.2021 um 21:36:38 Uhr
Goto Top
Beeindruckend, in der Tat.

Elasticsearch ist somit doch betroffen.
Und die Siemens-Software hatte ich gar nicht auf dem Schirm :-/ face-confused
Mitglied: em-pie
em-pie 16.12.2021 um 22:20:39 Uhr
Goto Top
Update bei Igel:

Mitglied: Reini82
Reini82 17.12.2021 um 07:03:30 Uhr
Goto Top
Für Docusnap u.a. gibt es ein Workaround wie man betroffene Systeme finden kann

https://www.docusnap.com/it-dokumentation/log4j-luecke-was-macht-sie-so- ...
Mitglied: Trommel
Trommel 17.12.2021 aktualisiert um 11:04:56 Uhr
Goto Top
Zitat von @commodity:

Hier mal wieder eine Liste (CISA) möglicher Weise betroffener Software. Sieht eindrucksvoll aus.

https://github.com/cisagov/log4j-affected-db

und vorsorglich auch nochmal die oben bereits verlinkte Liste des NCSC, die auch noch gewachsen ist.

https://github.com/NCSC-NL/log4shell/blob/main/software/README.md

Beide sind nicht deckungsgleich.

Wer hat da kein Mitgefühl mit den Kollegen/Entwicklern, die das alles patchen dürfen. 8 Tage vor Weihnachten wünscht man sich sicher was anderes.

Viele Grüße, commodity

Oha, richtig .. da wird @aqui viel zutun haben seine ganzen Ubiquiti UniFi Network Controller zu patchen ;-) face-wink
Mitglied: ukulele-7
ukulele-7 17.12.2021 aktualisiert um 13:07:32 Uhr
Goto Top
ELO schreibt jetzt etwas konkreter:
Sehr geehrte ELO Kunden,

eine kürzlich bekannt gewordene Sicherheitslücke in der Java-Bibliothek Log4j gefährdet weltweit Millionen Onlineanwendungen. Die Schwachstelle CVE-2021-44228 für die Protokollierung von Ereignissen kann zur Remote-Ausführung von Code durch Dritte führen.

Von ELO entwickelte Server-Dienste, die u. a. unsere öffentliche API bereitstellen und potenziell im Internet verfügbar sind, setzen Log4j in der Version 2 nicht ein und sind somit nicht betroffen. Leider ist jedoch die aktuelle ElasticSearch-Version (ab ELO 10), der ELO Java Client (ab ELO 10) sowie ELO BLP in Version 5.2 potenziell betroffen.

Sicherheitsexperten weltweit arbeiten gerade mit Hochdruck an der Analyse. Wir empfehlen daher in jedem Fall, auf die von uns bereitgestellten, aktuellen Versionen zu aktualisieren und unsere Handlungsempfehlungen, die auch Ihrem Business Partner vorliegen, umzusetzen.

Bitte kontaktieren Sie daher umgehend Ihre interne IT und das betreuende ELO Systemhaus. Weitere Hinweise finden Sie auch hier.


Mit freundlichen Grüßen
ELO Digital Office

Mitglied: commodity
commodity 21.12.2021 um 13:16:29 Uhr
Goto Top
Jetzt geht's lohos! (log4j noch nicht bestätigt):

https://administrator.de/knowledge/ransomware-bei-cgm-1643572754.html

Viele Grüße, commodity
Mitglied: Looser27
Looser27 22.12.2021 aktualisiert um 08:16:46 Uhr
Goto Top
Kam gestern von GFI bzgl. Kerio Connect:


Heute morgen eingespielt.
Mitglied: chgorges
chgorges 23.12.2021 um 12:53:15 Uhr
Goto Top
Moin,

um das Thema auf dem Laufenden zu halten -> Log4j-core 2.16.0 ist auch anfällig; wird in CVE-2021-45105 dokumentiert.

UniFi hat noch kein Controllerupdate rausgegeben, die manuelle Updateanleitung gibts hier https://think.unblog.ch/en/how-to-fix-unifi-controller-log4j-vulnerabili ...

Wenn man schon auf Controller v6.5.55 ist, einfach die Stellen im Skript mit "2.13.3" mit "2.16.0" ersetzen.

VG
Mitglied: SirEistee
SirEistee 23.12.2021 um 14:26:54 Uhr
Goto Top
Zitat von @chgorges:

Moin,

um das Thema auf dem Laufenden zu halten -> Log4j-core 2.16.0 ist auch anfällig; wird in CVE-2021-45105 dokumentiert.

UniFi hat noch kein Controllerupdate rausgegeben, die manuelle Updateanleitung gibts hier https://think.unblog.ch/en/how-to-fix-unifi-controller-log4j-vulnerabili ...

Wenn man schon auf Controller v6.5.55 ist, einfach die Stellen im Skript mit "2.13.3" mit "2.16.0" ersetzen.

VG

2.16 auch?
Man dachte, man wäre mit 2.15 (halbwegs) auf der sicheren Seite.
Heiß diskutierte Beiträge
question
Abschätzung Nutzungsdauer von neuer Serverhardware gelöst lcer00Vor 1 TagFrageHardware9 Kommentare

Hallo zusammen, bei uns stehen 2022 Neuanschaffungen an. Dabei geht es um einen Backupserver (das Cloud-Konzept überzeugt mich immer noch nicht vollständig ) und demnächst ...

question
Vorkehrungen für einen StromausfallahussainVor 1 TagFrageNetzwerke10 Kommentare

Hallo, wir betreiben ein Netzwerk mit 8 Clients, Router, Switches, IP-Telefonen, NAS und einem kleinen Anwendungsserver. Unsere einzige Vorkehrung gegen einen Stromausfall/Blackout ist aktuell eine ...

tutorial
IKEv2 VPN Server für Windows und Apple Clients mit Raspberry PiaquiVor 1 TagAnleitungLAN, WAN, Wireless1 Kommentar

Einleitung Das folgende Tutorial erhebt keinen Anspruch auf Vollständigkeit und ist ein einfaches Framework was die Funktion eines IPsec VPN Servers im groben Rahmen aufzeigt. ...

question
Acrobat Reader in 32bit? kein 64?Cougar77Vor 1 TagFrageMultimedia8 Kommentare

Hi, ich versteh grade den Acrobat Reader nicht Wenn ich den aktuellen Reader für die Verteilung im Unternehmen runterlade, installiert es den Reader in der ...

question
Zwei Glasfaseranschlüsse zu einem Lan Netzwerk verbinden gelöst Moritz2009Vor 1 TagFrageNetzwerke7 Kommentare

Hallo zusammen, ist es möglich zwei Glasfaser (FTTH-500Mbits/s) Anschlüsse, mit je einer Fritz!Box 7590 und 7530, in einem Netzwerk zu betreiben? Die Fritz!Boxen werden jeweils ...

question
Backup Software für PostgreSQLDaniVor 1 TagFrageDatenbanken11 Kommentare

Moin, für eine Anwendung kommt PostgreSQL 13.5 zum Einsatz. Leider nicht unter Linux, sondern läuft unter Windows Server 2019. Nun gibt es für jeden Kollegen ...

question
OS-Installation auf ProLiant Microserver Gen10 Plus schlägt fehl gelöst keine-ahnungVor 8 StundenFrageWindows Installation12 Kommentare

Moin at all, ich habe gestern stundenlang mit der o.g. Kiste gekämpft, um dort ein Windows 2016 (HPE ROK) zu installieren - keine Chance. In ...

question
Macos monterey auf normalen PC installierenjj-webhostingVor 22 StundenFrageMac OS X5 Kommentare

Hallo zusammen, Mich würde mal folgendes interessieren, kann man MacOS Monterey auch auf ein normalen PC installieren? Sprich auf kein Macbook? Wäre für mich interessant, ...