Heise.de log4j angreifbar (Bestandsaufnahme)

2 Likes

Sollte das auch Manjaro beunruhigen?

Follow up:

es ist nicht in den repos, es ist im AUR AUR (en) - log4j

Das Problem ist nicht log4j selbst. Das Problem ist dass log4j in vielen anderen Projekten integriert ist :frowning:

1 Like

Der Fehler, der unter der Nummer CVE-2021-44228 geführt wird, betrifft wahrscheinlich fast jede Java-Anwendung, die log4j verwendet, was ziemlich viele sind, wenn man bedenkt, wie weit verbreitet es ist. Wenn Ihre Anwendung jemals eine von einem Benutzer gesendete Zeichenkette protokolliert, ist sie wahrscheinlich verwundbar. Was die Exploits angeht, so ist dies einer der schlimmsten in diesem Jahr, da er praktisch jeden Server angreifen kann, auf dem Java in irgendeiner Form läuft (obwohl der primäre Angriffsvektor bei modernen JDK-Versionen schwieriger sein könnte, mehr dazu weiter unten).

Wahrscheinlich verwenden Sie bereits log4j, da es in Hunderten von anderen Bibliotheken als Standardprotokollierungstool enthalten ist. JDK-Versionen größer als 6u211, 7u201, 8u191 und 11.0.1 sind jedoch nicht von dem primären Angriffsvektor (unter Verwendung von LDAP) betroffen, der derzeit ausgenutzt wird. Das soll nicht heißen, dass Sie nicht aktualisieren sollten, da der Fehler in log4j + JNDI immer noch schwerwiegend ist und leicht auch mit anderen Angriffsvektoren genutzt werden kann.

Der Exploit wurde bereits in der neuesten Version von log4j, 2.15.0-rc2, gepatcht, also sollten Sie diese aktualisieren, wenn Sie können. Der Patch wurde auch auf frühere Versionen zurückportiert, angesichts des Schweregrades für Benutzer, die möglicherweise bei älteren Versionen hängen bleiben.

Quelle:

Update:

Github:

:warning: Achtung schwer verdauliche Kost:

US-Behörden:

Es geht weiter:

Zur Ergänzung mal ein Artikel, der die Problematik der Log4j-Sicherheitslücke für Normalsterbliche erklärt. Er ist zwar auf Englisch, dafür aber sehr allgemein verständlich geschrieben, sodass es keine größeren Verständnisschwierigkeiten geben dürfte.

1 Like

zum Thema:

1 Like

Das Thema erschöpft sich nicht so schnell:

Listen der verwundbaren Software:

Lösung für log4j (am Ende des Artikels)

  • Log4j 2.17.0 schlieĂźt die LĂĽcke
    solution for log4j (at the End of the article):
1 Like

Ich habe MĂĽhe, die Notwendigkeit zu erkennen, das hier im Manjaro Support-Forum zu verfolgen/tracken.

Sind Pakete bekannt, die log4j verwenden, upstream gepatched wurden und ein neues Release erhielten und nun Vorfahrt für den stable-Branch benötigen?

Dann hier bitte posten, falls von Manjaro gebaut:

und hier, falls von Arch importiert:

1 Like
1 Like

Was passieren kann wenn man den Bug (log4j) gar nicht hat:

1 Like