Große Sicherheitslücke in Java

garblixa · 13. Dezember 2021 um 12:02

Hallo Wilfried,

ja, kann sein, aber ein locate log4j liefert jedenfalls Ergebnisse.
Da muß man wohl einen Scanner drüberlaufen lassen, der die verwundbaren Pakete analysiert.

Viele Grüße
Klaus

dorian · 13. Dezember 2021 um 13:43

Wir benutzen nur Python (Webui, Linbo, Base) und Perl (Sophomorix) auf dem Server.

VG, Dorian

baumhof · 13. Dezember 2021 um 14:23

Hallo Klaus,

bei meinem nextcloudserver nicht.

Ich meine nextcloud und moodle sind da jetzt nicht in Gefahr: das sind php Anwendungen nicht java.

LG

Holger

wilfried · 13. Dezember 2021 um 15:07

Hallo Klaus,

ebenso der rocket.chat-Server.

Viele Grüße

Wilfried

dorian · 13. Dezember 2021 um 15:33

Rocket.Chat ist aber java script. Das sollte kein Proboem sein.

VG, Dorian

dominik · 13. Dezember 2021 um 16:23

Hallo Klaus,

hier gibt es eine Diskussion bzgl. BBB, wo aber die Quintessenz ist, dass BBB nicht davon betroffen ist. Es sind zwar Pakete mit log4j im Namen installiert, diese verwenden aber nicht die betroffene war blog4j-core.jar.

Viele Grüße
Dominik

Buster · 13. Dezember 2021 um 17:59

Hallo in die Runde,

ob der Dienst im Internet erreichbar ist, spielt keine Rolle. Es reicht, wenn eine vulnerable Version von Log4j eine Textzeile verarbeitet, die JNDI-Verbindungszeichenketten enthält. Das Problem ist ja gerade, dass man die „Lücke“ auf kein Feld eines Protokolls einschränken kann. Es könnte auch der HTTP-Header für HTTP-Accept-Encoding sein, den das JavaScript als Ajax-Request generiert oder das Feld Username, den ein nur intern erreichbarer LDAP-Server in sein Fehlerprotokoll schreibt.

Niemand kann verhindern, dass irgendein Nutzer im LAN eine Webseite aufruft, wo ein JavaScript eine Socketverbindung zu jeder IP im LAN aufbaut und die passende Zeichenkette als Username, Header, URL-Parameter o.ä. übermittelt. Die Lücke sorgt dann dafür, dass von der vulnerablen Software von intern der Zugriff nach außen erfolgt, um Schadsoftware nachzuladen.

MfG Buster

Cgsman · 13. Dezember 2021 um 19:00

Zum Thema „Moodle“ …

Aha, Solr ist auch betroffen.
Ich habe diese Suchmaschine in meine Moodle-Installation eingebaut - die macht auch richtig Spaß ! Hat aber das log4j-Problem…

Hier findet sich eine Beschreibung eines security-fixes:

Liebe Grüße
Christoph

jochen · 13. Dezember 2021 um 20:07

Hallo Thomas und Dorian,

Da muss ich an die Werbung denken „An meine Haut lass ich nur Wasser und CD“

Check!

Also fixen (wie?) oder die Cloud abschalten? Boah…

Viele Grüße,
Jochen

Cgsman · 13. Dezember 2021 um 21:31

Hallo allerseits,

man kann entweder warten, bis die log4j-Bibliothek 2.15 (glaubich) als Download zur Verfügung steht oder versuchen, über Optionen eine erste Filterung der Aufrufe zu erreichen - bei Solr ist das die Zeile:
SOLR_OPTS="$SOLR_OPTS -Dlog4j2.formatMsgNoLookups=true"
in der solr.in.sh.
Wenn man firewallmäßig den outgoing traffic filtert, kann man Aufrufe nach außen (z.B. ldap(s)) unterbinden.

L.G.
Christoph

baumhof · 13. Dezember 2021 um 21:52

Hallo,

… vorhin ist mir noch so eine Anwendung eingefallen, die Java benutzt: ASV … ob die wohl betroffen sind?
Und das NEO Portal: das ist im Netz erreichbar …

LG

Holger

Buster · 14. Dezember 2021 um 00:13

Hallo,

Das hilft nur sehr eingeschränkt und ist ein Kampf gegen Windmühlen. Niemand hindert den Angreifer seinen LDAP-Server auf Port 80 oder 443 zu betreiben. Und diese Ports sind immer direkt oder indirekt (über Webproxy, ggf. als TLS-Verbindung getunnelt) erreichbar.

MfG Buster

crazy-to-bike · 14. Dezember 2021 um 08:13

Hallo,

was ist mit Dokuwiki / Openschulportfolio?

Viele Grüße
Steffen

baumhof · 14. Dezember 2021 um 11:23

Hallo,

ich hab auf meinem Dokuwiki server kein log4j finden können: ich hab aber nur mit locate danach gesucht (mein DokuWiki ist nicht in einem Docker Container).
Außerdem hab ich im Web nach Hinweisen gesucht (also nach log4j und dokuwiki) und da auch nichts brauchbares gefunden.

Zu OpenSchulportfolio kann ich nichts sagen: das setze ich nicht mehr ein.

Viele Grüße
Holger

alois · 14. Dezember 2021 um 11:27

Hallo,

habt Ihr schon mal bei Eurer Bank nachgefragt inwieweit Online-Banking noch sicher ist? Ich hab’s gemacht. Mündlich meinte man es ist sicher. Auf die Frage wo ich das nachlesen kann gab es keine Antwort. Auf jeden Fall will man meine Anfrage an den zuständigen Mitarbeiter weiter geben und mir dann schreiben was Sache ist.

Gruß

Alois

baumhof · 14. Dezember 2021 um 11:57

Hallo,

ich dachte mir: komm, such mal genauer … und wollte mir das hier holen:

um das dazu (nicht zwingend) benötigte maven zu installieren würde ich um die 50 java Pakete auf meinem nextcloud server installieren müssen … nein Danke…

LG

Holger

baumhof · 14. Dezember 2021 um 12:48

Hallo,

… das hätte ich mir denken können: ASV ist ganz stolz drauf, dass sie von der log4j Problematik nicht betroffen sind.
Warum?
Weil die eingesetzt log4j Version zu alt ist

https://asv.kultus-bw.de/Startseite

LG

Holger

alois · 14. Dezember 2021 um 12:59

Hallo Holger,

und da wird man immer aufgefordert - aus Sicherheitsgründen - möglichst zeitnah upzudaten.

Gruß

Alois

jochen · 14. Dezember 2021 um 16:28

Hallo Alois und alle,

wisst Ihr, wie das mit den Belwue-Moodles aussieht? Kann man die einer bestimmten IP oder einem IP-Range zuordnen oder wie sieht das dort aus mit deren Clustern, Loadbalancern etc.?

Danke und viele Grüße,
Jochen

alois · 14. Dezember 2021 um 16:46

Hallo Jochen,

bei Belwue muss ich passen.

Gruß

Alois