ComputerBase Menü
Aktuelles

[Java] RCE 0-day exploit found in log4j lib

Mac_Leod

Mac_Leod

Captain
Registriert
Dez. 2001
Beiträge
3.750
Guten Morgen,

weil es gerade diese richtig böse Sicherheitslücke gibt welche auch ausgenutzt wird, möchte ich Admin Kollegen mit diesem Topic darauf hinweisen.
siehe LunaSec Blog
Sofern ihr Internetfacing System mit der "log4j-Bibliothek" vom Apache Projekt (zb.: Jira, Confluence usw.) betreibt, dann sollte man diese aktuell aus dem Netz nehmen.
Es gibt aber auch schon andere Lösungsansätze, die aber extrem anstrengend werden können.

Updates (3 hours after posting): According to this blog post (in english), JDK versions greater than 6u211, 7u201, 8u191, and 11.0.1 are not affected by the LDAP attack vector. In these versions com.sun.jndi.ldap.object.trustURLCodebase is set to false meaning JNDI cannot load a remote codebase using LDAP.

In der letzten Atlassian Produkt Updaterunde sind auch schon fixes implementiert.
stimmt nicht, hab mich verlesen
Atlassian Security advisories

Grüße

ps.: Sorry wenn es schon so ein Sammeltopic dafür geben sollte, habe ich es nicht so schnell gefunden
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: M@tze, LuckyMagnum, kryzs und 6 andere
Woran siehst du, dass die Atlassian Produkte bereits die Fixes implementiert haben? Ich lese es so, dass es noch keinen Patch gibt, nur einen Workaround. Vielleicht fehlt auch noch Kaffee bei mir
 
bei mir war es auch der erste fehlende Kaffee, hab das hier falsch interpretiert -.-

Security advisories for Atlassian server products are released every Wednesday
Zum Vergrößern anklicken....
 
Danke für den Hinweis. Ein wichtiger Satz nach
Mac_Leod schrieb:
Updates (3 hours after posting): According to this blog post (in english), JDK versions greater than 6u211, 7u201, 8u191, and 11.0.1 are not affected by the LDAP attack vector. In these versions com.sun.jndi.ldap.object.trustURLCodebase is set to false meaning JNDI cannot load a remote codebase using LDAP.
Zum Vergrößern anklicken....
However, there are other attack vectors targeting this vulnerability which can result in RCE.

Das heißt ein aktuelles Java bringt nur leichte Entspannung.
Mich hat Github gewarnt - ein selbtgeschriebener Service ist betroffen (zum Glück hinter einem Reverse Proxy mit Auth - also nicht direkt offen im inet).

Es ist aber wirklich ein kritische Lücke die insbesondere Standardsoftware betrifft - man muss nur wissen mit welchen Requests man log-Statements provoziert die teile des requests loggen und dann lädt der server code aus dem internet nach 🥵
 
Ich bin gerade am überlegen wie ich herausfinden kann, welche Applikationen log4j benutzen oder nicht. Scheint ja doch was kritsiches zu sein.
 
Das Grundproblem an der Sache ist, das die log4j.lib halt echt fast überall verwendet wird, sobald JAVA mitspielt.
 
  • Gefällt mir
Reaktionen: teufelernie
ich kenns selbst noch aus meinen Java Entwickler Zeiten, aber wie gesagt, ich suche noch eine Liste mit Known Affected Software - in den ganzen Links die ich jetzt durchgegangen bin, ist nichts mit drin. Damit wir gezielt nach Anwendungen suchen können.
 
Falc410 schrieb:
Ich bin gerade am überlegen wie ich herausfinden kann, welche Applikationen log4j benutzen oder nicht. Scheint ja doch was kritsiches zu sein.
Zum Vergrößern anklicken....
https://github.com/jitsi/jitsi-vide...4388fa44f59d692f25c6ab908ef/config/log4j2.xml
https://access.redhat.com/security/cve/cve-2021-44228
https://www.randori.com/blog/cve-2021-44228/
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44228
https://ubuntu.com/security/CVE-2021-44228

Da hilft irgendwie aktuell nur warten und die Systeme welche aus dem Netz erreichbar sind auszumachen bzw. nur intern erreichbar zu machen.
 
  • Gefällt mir
Reaktionen: Falc410
Die in Atlassian Produkten eingesetzten Versionen der Log4j sind die 1.2.17 und somit wahrscheinlich nicht betroffen

Note that log4j 1.x is End of Life and has other security vulnerabilities that will not be fixed. [...] The recommendation is to upgrade to 2.15.0.
Zum Vergrößern anklicken....
falls es wen interessiert --> der Pul Request bei Log4j
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: konkretor und Pankrat
Mac_Leod schrieb:
Die in Atlassian Produkten eingesetzten Versionen der Log4j sind die 1.2.17 und somit wahrscheinlich nicht betroffen


falls es wen interessiert --> der Pul Request bei Log4j
Zum Vergrößern anklicken....

Hier auch das CVE https://access.redhat.com/security/cve/cve-2021-44228

This issue only affects log4j versions between 2.0 and 2.14.1. log4j 1.x is NOT affected by this flaw. In order to exploit this flaw you need

  • A remotely accessible endpoint with any protocol (HTTP, TCP, etc) that allows an attacker to send arbitrary data,
  • A log statement in the endpoint that logs the attacker controlled data
Zum Vergrößern anklicken....
 
Version 1.x ist halt schon länger EOL ^^ Aber so ist man mal geschützt wenn man kein Update gemacht hat. Hat das jemand verifiziert, dass Jira etc. 1.x einsetzt?
 
Na da bin ich mal gespannt, wo sich log4j sonst noch finden wird.

Für mich wäre jetzt interessant, ob die Sophos Firewalls oder der Citrix Netscaler getroffen sind. Kurzes googlen suggeriert, dass die beide auf Basis von Apache arbeiten.
 
FYI: Bitbucket hat Log4j2 in v2.14.1 im Gepäck - da ist also Handlungsbedarf bis das Update kommt. Bei Confluence und Jira ist noch 1.2.x am Start.

Generell ist das eine große PITA-Sache. Bin nur am Code / Projekte patchen oder dabei Systeme abzuschotten bzw. die Libs in den Containern / deployten Webapps zu patchen.
 
Bei uns auch Krisenmodus seit heute morgen. Überhaupt festzustellen was alles verwundbar ist, ist schon ein PITA
 
Ja das stimmt... v.a. wenn Bibliotheken verwundbare Versionen "geshaded" ausliefern, dann ist es nichtmal offensichtlich :/

Habe bei uns auch schon Payloads in den Logs mit russischem IP Ursprung, die genau die CVE ausprobieren an Public Diensten von uns...
 
Guten Abend allerseits!

Kurz eine Frage von mir:
Wenn kein Java installiert ist braucht man sich keine Sorgen machen?
Ich habe gelesen das Apache betroffen ist und dachte ich frage hier mal zur Sicherheit nach.
Laut meinem Kenntnisstand ist bei der neuen Zero-Day Lücke nur log4j betroffen? Und log4j läuft nur wenn Java installiert ist?
Habe eben auf meinen Plesk Maschinen ob Java installiert ist, habe wohl Glück gehabt.
Wenn ich Java eingebe meldet mir mein Ubuntu Server welche Pakete Java enthalten - aber nicht das Java installiert ist.

Schönen Abend noch! :)
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz