Heise.de log4j angreifbar (Bestandsaufnahme)

eugen-b · 13 December 2021 15:40

es ist nicht in den repos, es ist im AUR AUR (en) - log4j

andreas85 · 13 December 2021 16:18

Das Problem ist nicht log4j selbst. Das Problem ist dass log4j in vielen anderen Projekten integriert ist

Piscatorius · 13 December 2021 17:23

Der Fehler, der unter der Nummer CVE-2021-44228 geführt wird, betrifft wahrscheinlich fast jede Java-Anwendung, die log4j verwendet, was ziemlich viele sind, wenn man bedenkt, wie weit verbreitet es ist. Wenn Ihre Anwendung jemals eine von einem Benutzer gesendete Zeichenkette protokolliert, ist sie wahrscheinlich verwundbar. Was die Exploits angeht, so ist dies einer der schlimmsten in diesem Jahr, da er praktisch jeden Server angreifen kann, auf dem Java in irgendeiner Form läuft (obwohl der primäre Angriffsvektor bei modernen JDK-Versionen schwieriger sein könnte, mehr dazu weiter unten).

Wahrscheinlich verwenden Sie bereits log4j, da es in Hunderten von anderen Bibliotheken als Standardprotokollierungstool enthalten ist. JDK-Versionen größer als 6u211, 7u201, 8u191 und 11.0.1 sind jedoch nicht von dem primären Angriffsvektor (unter Verwendung von LDAP) betroffen, der derzeit ausgenutzt wird. Das soll nicht heißen, dass Sie nicht aktualisieren sollten, da der Fehler in log4j + JNDI immer noch schwerwiegend ist und leicht auch mit anderen Angriffsvektoren genutzt werden kann.

Der Exploit wurde bereits in der neuesten Version von log4j, 2.15.0-rc2, gepatcht, also sollten Sie diese aktualisieren, wenn Sie können. Der Patch wurde auch auf frühere Versionen zurückportiert, angesichts des Schweregrades für Benutzer, die möglicherweise bei älteren Versionen hängen bleiben.

Quelle:

andreas85 · 14 December 2021 12:20

Update:

andreas85 · 14 December 2021 18:25

Github:

Achtung schwer verdauliche Kost:

andreas85 · 15 December 2021 06:50

US-Behörden:

andreas85 · 15 December 2021 11:52

Es geht weiter:

Piscatorius · 15 December 2021 14:15

Zur Ergänzung mal ein Artikel, der die Problematik der Log4j-Sicherheitslücke für Normalsterbliche erklärt. Er ist zwar auf Englisch, dafür aber sehr allgemein verständlich geschrieben, sodass es keine größeren Verständnisschwierigkeiten geben dürfte.

andreas85 · 15 December 2021 16:40

zum Thema:

andreas85 · 16 December 2021 07:25

Das Thema erschöpft sich nicht so schnell:

Listen der verwundbaren Software:

Lösung für log4j (am Ende des Artikels)

Log4j 2.17.0 schließt die Lücke
solution for log4j (at the End of the article):

freggel.doe · 16 December 2021 07:49

Ich habe Mühe, die Notwendigkeit zu erkennen, das hier im Manjaro Support-Forum zu verfolgen/tracken.

Sind Pakete bekannt, die log4j verwenden, upstream gepatched wurden und ein neues Release erhielten und nun Vorfahrt für den stable-Branch benötigen?

Dann hier bitte posten, falls von Manjaro gebaut:

und hier, falls von Arch importiert:

freggel.doe · 17 December 2021 07:05

andreas85 · 21 December 2021 07:05

andreas85 · 29 January 2022 17:16

andreas85 · 5 March 2022 18:41

Was passieren kann wenn man den Bug (log4j) gar nicht hat:

andreas85 · 27 April 2022 19:47

Aktuelle Bestandsaufnahme:

Vor allem viele Container noch ungepatcht !

andreas85 · 17 November 2022 18:57

Nachtrag:
Wer nicht weiß was er einsetzt, kann sehr wohl sowas wie log4j eingesetzt haben.
Beispiel: VMware Horizon

Fleißig Updaten auch wenn’s Arbeit ist !

ion · 17 November 2022 20:26

Bemerkenswert, ja. Die CISA hat am 24.6.22 nochmals ausdrücklich auf das VMWare Horizon Problem hingewiesen, hat den beschriebenen Einbruch aber zwei Monate vorher (Ende April) festgestellt. VMWare am 14.4. bereits die Horizon Produkte mit aufgeführt.