Große Sicherheitslücke in Java

alois · 12. Dezember 2021 um 17:39

2021-549032-10F2.pdf (220,2 KB)

Gruß Alois

baumhof · 12. Dezember 2021 um 19:05

Hallo Alois,

aha: unifi Controller ist betroffen:

https://community.ui.com/releases/UniFi-Network-Application-6-5-54/d717f241-48bb-4979-8b10-99db36ddabe1

… zum Glück ist der aus dem Internet nicht erreichbar …

VMware ist auch betroffen … die benutzen Java? … echte Profis …

LG

Holger

alois · 12. Dezember 2021 um 19:16

Hallo Holger,

alle die mit Java arbeiten sind betroffen. Auch Apple.

Zitat: „CVSS-Index 10 (von 10 möglichen Punkten)“

Gruß

Alois

alois · 12. Dezember 2021 um 20:46

Gruß

Alois

garblixa · 13. Dezember 2021 um 06:15

Hallo zusammen,

in den BigBlueButton Installationen ist log4j auch drinnen.

Viele Grüße
Klaus

jochen · 13. Dezember 2021 um 07:31

Hallo zusammen,

wie sieht’s mit dem LMN-Server selbst aus?
Oder Moodle?

Viele Grüße,
Jochen

alois · 13. Dezember 2021 um 07:33

Hallo Jochen,

der sollte eigentlich nicht im Internet stehen.

Gruß

Alois

jochen · 13. Dezember 2021 um 07:34

Hallo Alois,

das nicht aber einige Ports sind ja u.U. offen (z.B. ldaps,…) Wie schaut das aus, wenn da präparierte Anfragen reinkommen, die entsprechende strings in die logs schreiben?

Viele Grüße,
Jochen

alois · 13. Dezember 2021 um 07:36

Hallo Jochen,

ich habe den LDAPs immer so gehändelt, dass nur bestimmte IPs Anfragen durften. Alles andere wurde geblockt.

Beispiele:Moodle-Server und das Stundenplan Programm.

Gruß

Alois

jochen · 13. Dezember 2021 um 07:37

Hi Alois,

ok, to be tested. Muss ich nachschauen.

Danke und viele Grüße,
Jochen

jochen · 13. Dezember 2021 um 07:40

What about Nextcloud?

tjordan · 13. Dezember 2021 um 07:49

Nextcloud verwendet üblicherweise log4j nicht

Nextcloud ist nur dann betroffen, wenn die App „Volltextsuche mit elasticsearch“ installiert ist

tjordan · 13. Dezember 2021 um 08:43

Hallo Holger,

Vorsichtig!

Nicht alle VMWare Produkte sind betroffen:

VMware vSphere ESX z.B. nicht

Liebe Grüße
Thomas

wilfried · 13. Dezember 2021 um 08:46

Hallo Klaus,

in den releases zu BigBlueButton habe ich aber kein entsprechendes update gefunden.

Viele Grüße

Wilfried

garblixa · 13. Dezember 2021 um 12:02

Hallo Wilfried,

ja, kann sein, aber ein locate log4j liefert jedenfalls Ergebnisse.
Da muß man wohl einen Scanner drüberlaufen lassen, der die verwundbaren Pakete analysiert.

Viele Grüße
Klaus

dorian · 13. Dezember 2021 um 13:43

Wir benutzen nur Python (Webui, Linbo, Base) und Perl (Sophomorix) auf dem Server.

VG, Dorian

baumhof · 13. Dezember 2021 um 14:23

Hallo Klaus,

bei meinem nextcloudserver nicht.

Ich meine nextcloud und moodle sind da jetzt nicht in Gefahr: das sind php Anwendungen nicht java.

LG

Holger

wilfried · 13. Dezember 2021 um 15:07

Hallo Klaus,

ebenso der rocket.chat-Server.

Viele Grüße

Wilfried

dorian · 13. Dezember 2021 um 15:33

Rocket.Chat ist aber java script. Das sollte kein Proboem sein.

VG, Dorian

dominik · 13. Dezember 2021 um 16:23

Hallo Klaus,

hier gibt es eine Diskussion bzgl. BBB, wo aber die Quintessenz ist, dass BBB nicht davon betroffen ist. Es sind zwar Pakete mit log4j im Namen installiert, diese verwenden aber nicht die betroffene war blog4j-core.jar.

Viele Grüße
Dominik