Schwachstelle im Java-Projekt „log4j“

VanFlusen

Themenstarter
Bekanntes Mitglied
Einige Hard- und Softwareunternehmen informieren ihre Kunden per E-Mail, ob ihre Produkte betroffen sind.
Die Mehrzahl der Hersteller hält sich eher bedeckt.

Um den eigenen PC zu checken:

 

chaospir8

★★★★★-Oldie
Ich schaue doch kein YT-Video, um meinen PC mit seinen zig Anwendungen auf die Log4j-Lücke zu prüfen!
Was ist die Quintessenz bzw. gibt's ein Tool!?

Nebenbei:
Ich habe heute bei mir in der Firma drei Anwendungen, für die ich "Owner" bin, geprüft und sie sind nicht betroffen (weil sie eben keine Java-Komponenten haben bzw. nicht in Java programmiert sind):
- Mindjet Mindmanager
- Notepad++
- MS Project (Was ist nicht sagen kann, ob unsere Infrastruktur z.B. irgenwelche Office.Komponenten betreibt, die Java im Bauch haben, die wiederum von MS Project genutzt werden, ich denke aber nicht.)
 

dr_tommi

alter Oldie
Ich habe mal den Powershellbefehl aus dem Video auf meinem Rechner laufen lassen.
Code:
gci 'C:\' -rec -force -include *.jar -ea 0 | foreach {select-string "JndiLookup.class" $_} | select -exp Path
Ergebnis:
Code:
C:\Program Files\MediathekView\MediathekView.jar
C:\Program Files (x86)\Java\jre1.8.0_311\lib\ext\PAD.JavaBridge.jar
C:\Program Files (x86)\Power Automate Desktop\java-support\PAD.JavaBridge.jar
Ich hatte mehr bzw. schlimmeres erwartet.
 

dr_tommi

alter Oldie
Hallo,

ich empfehle die Informationen des BSI: https://bsi.bund.de/dok/log4j
Und worin unterscheiden sich diese von den unter dem genannten Video verlinkten Seiten des BSI?
Ganz einfach, der Informationsgehalt ist bei den anderen einfach höher:
https://www.bsi.bund.de/SharedDocs/...21-549032-10F2.pdf?__blob=publicationFile&v=9
Und auf jeden Fall erstmal alle Systeme durchsuchen.
z.B. damit :

Lustig sind ja die Empfehlungen des BSI:

Was tue ich, wenn ich selbst Administrator bin und Log4j nutze?​

  • Führen Sie das Update auf die aktuelle Version 2.16.0 von "Log4j" schnellstmöglich in allen Anwendungen durch!
Auf jeden Fall, wenn ich die Anwendungen soweit im Zugriff habe dass ich dort auch einzelne Komponenten unabhängig vom Gesamtsystem updaten kann.
  • Spielen Sie Updates Ihrer übrigen Geräte und Dienste ein, sobald sie zur Verfügung stehen!
Wann? In Kürze? Asap? Asapst? ;)
Also ob man das in der Hand hat dass alle eingesetzten Anwendungen sofort Updates bekommen.
  • Schalten Sie nicht zwingend benötigte Systeme ab.
Am besten alle Systeme abschalten.

Der Heimanwender hat diese Bibliotheken zwar auch auf den Systemen, aber im Normalfall nicht in Servern, ist also nicht ganz so gefährdet.
Zumindest so die Aussagen im Netz.

Mal sehen was da noch kommt.
 

chaospir8

★★★★★-Oldie
@Joshua
Naja. Der Informationsgehalt hält sich dort mMn in Grenzen. Unter "Detektion" hätte ich konkreteres erwartet, z.B.

-- edit --
Ich petze mal: dr_tommis Beitrag hat sich "vorgedrängelt" während ich bei BSI las ... geht aber in ähnliche Richtung.
 

golive

Bekanntes Mitglied
Auch in der 2.16 ist noch ein Loch. In der Firma werden alle Server (meist Linux) mit Applikationen die aus dem Nety erreichbar sein müssen auf die 2.17 gepatched. Clientseitig sind die lokalen Firewalls und Gropupolicies sehr restriktiv. Hier wird erstmal nix gemacht.
 

eumel_1

rüpelhafter Bierhippie
Ich habe mal den Powershellbefehl aus dem Video auf meinem Rechner laufen lassen.
...
Ergebnis:
Code:
C:\Program Files\MediathekView\MediathekView.jar
C:\Program Files (x86)\Java\jre1.8.0_311\lib\ext\PAD.JavaBridge.jar
C:\Program Files (x86)\Power Automate Desktop\java-support\PAD.JavaBridge.jar
Ich hatte mehr bzw. schlimmeres erwartet.
Mediathekview hat ein Update auf 13.8.1 rausgebracht
 

Joshua

Gott sei Dank Atheist
Das Update von Mediathekview auf 13.8.1 kam am 14.12. heraus. Am 17.12. kam von Log4j als Security-Fix das Release 2.17.0 heraus, am 27.12. ein weiteres Update auf Release 2.17.1 um wieder neu bekannt gewordene Sicherheitslücken zu schließen. Vermutlich dürfte es also weitere Updates von Mediathekview geben (müssen), wie bei vielen anderen Anwendungen auch.
 

dr_tommi

alter Oldie
Mediathekview hat ein Update auf 13.8.1 rausgebracht

Das ist bereits die Version 13.8.1 vom 13.12.21.
Lustigerweise sind aber die betroffenden Bibliotheken in dem Archiv schon vom 9.12.21 11:25 Uhr, also bereits einen Tag vor der Veröffentlichung bei NVD.
Nur mal so als Auszug:
1640810302820.png

Also echt schnelle Reaktion. ;)
Die von Apache empfohlene Version ist übrigens die 2.17.1 und die ist vom 27.12.21.

Der Powershellbefehl von oben sucht also nicht nach den Versionen mit den Schwachstellen, sondern nur nach der Nutzung der Bibliothek an sich.
Die beiden anderen Funde haben ebenfalls ein Update bekommen und werden nicht mehr "bemängelt".
 
Zuletzt bearbeitet:

ultimate

Alle wollen alt werden. Keiner will alt sein.
Ich finde die Erklärung des "Log4J"-Problems* in diesem Postcast sehr verständlich erklärt
(Ich bin kein Entwickler / Programmierer):

Logbuch Netzpolitik

https://logbuch-netzpolitik.de/lnp4...der-politischen-gegner-mit-hacking-affinitaet

Wer nicht alles anhören möchte: Es gibt dort auch eine Kapitelinfo. Ab Minute 44:27 geht es los.

btw: Auch die anderen Themen sind sehr interessant

*Problem, weil es kein Bug ist. "Its a feature"
 
Zuletzt bearbeitet:
Oben Unten