Schwachstelle im Java-Projekt „log4j“

[VanFlusen]

Einige Hard- und Softwareunternehmen informieren ihre Kunden per E-Mail, ob ihre Produkte betroffen sind.
Die Mehrzahl der Hersteller hält sich eher bedeckt.

Um den eigenen PC zu checken:

 

[chaospir8]

Ich schaue doch kein YT-Video, um meinen PC mit seinen zig Anwendungen auf die Log4j-Lücke zu prüfen!
Was ist die Quintessenz bzw. gibt's ein Tool!?

Nebenbei:
Ich habe heute bei mir in der Firma drei Anwendungen, für die ich "Owner" bin, geprüft und sie sind nicht betroffen (weil sie eben keine Java-Komponenten haben bzw. nicht in Java programmiert sind):
- Mindjet Mindmanager
- Notepad++
- MS Project (Was ist nicht sagen kann, ob unsere Infrastruktur z.B. irgenwelche Office.Komponenten betreibt, die Java im Bauch haben, die wiederum von MS Project genutzt werden, ich denke aber nicht.)

 

[dr_tommi]

Ich habe mal den Powershellbefehl aus dem Video auf meinem Rechner laufen lassen.

gci 'C:\' -rec -force -include *.jar -ea 0 | foreach {select-string "JndiLookup.class" $_} | select -exp Path

Ergebnis:

C:\Program Files\MediathekView\MediathekView.jar
C:\Program Files (x86)\Java\jre1.8.0_311\lib\ext\PAD.JavaBridge.jar
C:\Program Files (x86)\Power Automate Desktop\java-support\PAD.JavaBridge.jar

Ich hatte mehr bzw. schlimmeres erwartet.

 

[Joshua]

Hallo,

ich empfehle die Informationen des BSI: https://bsi.bund.de/dok/log4j

 

[dr_tommi]

Hallo,

ich empfehle die Informationen des BSI: https://bsi.bund.de/dok/log4j

Und worin unterscheiden sich diese von den unter dem genannten Video verlinkten Seiten des BSI?
Ganz einfach, der Informationsgehalt ist bei den anderen einfach höher:
https://www.bsi.bund.de/SharedDocs/...21-549032-10F2.pdf?__blob=publicationFile&v=9
Und auf jeden Fall erstmal alle Systeme durchsuchen.
z.B. damit :

Log4j RCE CVE-2021-44228 Exploitation Detection

Log4j RCE CVE-2021-44228 Exploitation Detection. GitHub Gist: instantly share code, notes, and snippets.

(https://gist.github.com/Neo23x0/e4c8b03ff8cdf1fa63b7d15db6e3860b)

Lustig sind ja die Empfehlungen des BSI:

Was tue ich, wenn ich selbst Administrator bin und Log4j nutze?​

• Führen Sie das Update auf die aktuelle Version 2.16.0 von "Log4j" schnellstmöglich in allen Anwendungen durch!

Auf jeden Fall, wenn ich die Anwendungen soweit im Zugriff habe dass ich dort auch einzelne Komponenten unabhängig vom Gesamtsystem updaten kann.

• Spielen Sie Updates Ihrer übrigen Geräte und Dienste ein, sobald sie zur Verfügung stehen!

Wann? In Kürze? Asap? Asapst?
Also ob man das in der Hand hat dass alle eingesetzten Anwendungen sofort Updates bekommen.

• Schalten Sie nicht zwingend benötigte Systeme ab.

Am besten alle Systeme abschalten.

Der Heimanwender hat diese Bibliotheken zwar auch auf den Systemen, aber im Normalfall nicht in Servern, ist also nicht ganz so gefährdet.
Zumindest so die Aussagen im Netz.

Mal sehen was da noch kommt.

 

[chaospir8]

@Joshua
Naja. Der Informationsgehalt hält sich dort mMn in Grenzen. Unter "Detektion" hätte ich konkreteres erwartet, z.B.

-- edit --
Ich petze mal: dr_tommis Beitrag hat sich "vorgedrängelt" während ich bei BSI las ... geht aber in ähnliche Richtung.

 

[golive]

Auch in der 2.16 ist noch ein Loch. In der Firma werden alle Server (meist Linux) mit Applikationen die aus dem Nety erreichbar sein müssen auf die 2.17 gepatched. Clientseitig sind die lokalen Firewalls und Gropupolicies sehr restriktiv. Hier wird erstmal nix gemacht.

 

[chaospir8]

Hier mal eine Auflistung der Quellen, die die Software-Hersteller für ihre Produkte bereitgestellt haben:

BlueTeam CheatSheet * Log4Shell* | Last updated: 2021-12-20

https://gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592

 

[eumel_1]

Ich habe mal den Powershellbefehl aus dem Video auf meinem Rechner laufen lassen.
...
Ergebnis:

C:\Program Files\MediathekView\MediathekView.jar
C:\Program Files (x86)\Java\jre1.8.0_311\lib\ext\PAD.JavaBridge.jar
C:\Program Files (x86)\Power Automate Desktop\java-support\PAD.JavaBridge.jar

Ich hatte mehr bzw. schlimmeres erwartet.

Mediathekview hat ein Update auf 13.8.1 rausgebracht

 

[Joshua]

Das Update von Mediathekview auf 13.8.1 kam am 14.12. heraus. Am 17.12. kam von Log4j als Security-Fix das Release 2.17.0 heraus, am 27.12. ein weiteres Update auf Release 2.17.1 um wieder neu bekannt gewordene Sicherheitslücken zu schließen. Vermutlich dürfte es also weitere Updates von Mediathekview geben (müssen), wie bei vielen anderen Anwendungen auch.

 

[dr_tommi]

Mediathekview hat ein Update auf 13.8.1 rausgebracht

Das ist bereits die Version 13.8.1 vom 13.12.21.
Lustigerweise sind aber die betroffenden Bibliotheken in dem Archiv schon vom 9.12.21 11:25 Uhr, also bereits einen Tag vor der Veröffentlichung bei NVD.
Nur mal so als Auszug:

Also echt schnelle Reaktion.
Die von Apache empfohlene Version ist übrigens die 2.17.1 und die ist vom 27.12.21.

Der Powershellbefehl von oben sucht also nicht nach den Versionen mit den Schwachstellen, sondern nur nach der Nutzung der Bibliothek an sich.
Die beiden anderen Funde haben ebenfalls ein Update bekommen und werden nicht mehr "bemängelt".

 

[RichyZuHause]

Wann? In Kürze? Asap? Asapst?

Etwas OT - aber Asapst gefällt mir ausgezeichnet!
Nehme ich gleich mal als Beschleuniger in die Firma mit.
Wenn Du gestattest, Tommi.

 

[ultimate]

Ich finde die Erklärung des "Log4J"-Problems* in diesem Postcast sehr verständlich erklärt
(Ich bin kein Entwickler / Programmierer):

Logbuch Netzpolitik

https://logbuch-netzpolitik.de/lnp4...der-politischen-gegner-mit-hacking-affinitaet

Wer nicht alles anhören möchte: Es gibt dort auch eine Kapitelinfo. Ab Minute 44:27 geht es los.

btw: Auch die anderen Themen sind sehr interessant

*Problem, weil es kein Bug ist. "Its a feature"