Hallo Wilfried,
ja, kann sein, aber ein locate log4j
liefert jedenfalls Ergebnisse.
Da muß man wohl einen Scanner drüberlaufen lassen, der die verwundbaren Pakete analysiert.
Viele Grüße
Klaus
Hallo Wilfried,
ja, kann sein, aber ein locate log4j
liefert jedenfalls Ergebnisse.
Da muß man wohl einen Scanner drüberlaufen lassen, der die verwundbaren Pakete analysiert.
Viele Grüße
Klaus
Wir benutzen nur Python (Webui, Linbo, Base) und Perl (Sophomorix) auf dem Server.
VG, Dorian
Hallo Klaus,
bei meinem nextcloudserver nicht.
Ich meine nextcloud und moodle sind da jetzt nicht in Gefahr: das sind php Anwendungen nicht java.
LG
Holger
Hallo Klaus,
ebenso der rocket.chat-Server.
Viele Grüße
Wilfried
Rocket.Chat ist aber java script. Das sollte kein Proboem sein.
VG, Dorian
Hallo Klaus,
hier gibt es eine Diskussion bzgl. BBB, wo aber die Quintessenz ist, dass BBB nicht davon betroffen ist. Es sind zwar Pakete mit log4j im Namen installiert, diese verwenden aber nicht die betroffene war blog4j-core.jar.
Viele Grüße
Dominik
Hallo in die Runde,
ob der Dienst im Internet erreichbar ist, spielt keine Rolle. Es reicht, wenn eine vulnerable Version von Log4j eine Textzeile verarbeitet, die JNDI-Verbindungszeichenketten enthält. Das Problem ist ja gerade, dass man die „Lücke“ auf kein Feld eines Protokolls einschränken kann. Es könnte auch der HTTP-Header für HTTP-Accept-Encoding sein, den das JavaScript als Ajax-Request generiert oder das Feld Username, den ein nur intern erreichbarer LDAP-Server in sein Fehlerprotokoll schreibt.
Niemand kann verhindern, dass irgendein Nutzer im LAN eine Webseite aufruft, wo ein JavaScript eine Socketverbindung zu jeder IP im LAN aufbaut und die passende Zeichenkette als Username, Header, URL-Parameter o.ä. übermittelt. Die Lücke sorgt dann dafür, dass von der vulnerablen Software von intern der Zugriff nach außen erfolgt, um Schadsoftware nachzuladen.
MfG Buster
Zum Thema „Moodle“ …
Aha, Solr ist auch betroffen.
Ich habe diese Suchmaschine in meine Moodle-Installation eingebaut - die macht auch richtig Spaß ! Hat aber das log4j-Problem…
Hier findet sich eine Beschreibung eines security-fixes:
Liebe Grüße
Christoph
Hallo Thomas und Dorian,
Da muss ich an die Werbung denken „An meine Haut lass ich nur Wasser und CD“
Check!
Also fixen (wie?) oder die Cloud abschalten? Boah…
Viele Grüße,
Jochen
Hallo allerseits,
man kann entweder warten, bis die log4j-Bibliothek 2.15 (glaubich) als Download zur Verfügung steht oder versuchen, über Optionen eine erste Filterung der Aufrufe zu erreichen - bei Solr ist das die Zeile:
SOLR_OPTS="$SOLR_OPTS -Dlog4j2.formatMsgNoLookups=true"
in der solr.in.sh.
Wenn man firewallmäßig den outgoing traffic filtert, kann man Aufrufe nach außen (z.B. ldap(s)) unterbinden.
L.G.
Christoph
Hallo,
… vorhin ist mir noch so eine Anwendung eingefallen, die Java benutzt: ASV … ob die wohl betroffen sind?
Und das NEO Portal: das ist im Netz erreichbar …
LG
Holger
Hallo,
Das hilft nur sehr eingeschränkt und ist ein Kampf gegen Windmühlen. Niemand hindert den Angreifer seinen LDAP-Server auf Port 80 oder 443 zu betreiben. Und diese Ports sind immer direkt oder indirekt (über Webproxy, ggf. als TLS-Verbindung getunnelt) erreichbar.
MfG Buster
Hallo,
was ist mit Dokuwiki / Openschulportfolio?
Viele Grüße
Steffen
Hallo,
ich hab auf meinem Dokuwiki server kein log4j finden können: ich hab aber nur mit locate danach gesucht (mein DokuWiki ist nicht in einem Docker Container).
Außerdem hab ich im Web nach Hinweisen gesucht (also nach log4j und dokuwiki) und da auch nichts brauchbares gefunden.
Zu OpenSchulportfolio kann ich nichts sagen: das setze ich nicht mehr ein.
Viele Grüße
Holger
Hallo,
habt Ihr schon mal bei Eurer Bank nachgefragt inwieweit Online-Banking noch sicher ist? Ich hab’s gemacht. Mündlich meinte man es ist sicher. Auf die Frage wo ich das nachlesen kann gab es keine Antwort. Auf jeden Fall will man meine Anfrage an den zuständigen Mitarbeiter weiter geben und mir dann schreiben was Sache ist.
Gruß
Alois
Hallo,
ich dachte mir: komm, such mal genauer … und wollte mir das hier holen:
um das dazu (nicht zwingend) benötigte maven zu installieren würde ich um die 50 java Pakete auf meinem nextcloud server installieren müssen … nein Danke…
LG
Holger
Hallo,
… das hätte ich mir denken können: ASV ist ganz stolz drauf, dass sie von der log4j Problematik nicht betroffen sind.
Warum?
Weil die eingesetzt log4j Version zu alt ist
https://asv.kultus-bw.de/Startseite
LG
Holger
Hallo Holger,
und da wird man immer aufgefordert - aus Sicherheitsgründen - möglichst zeitnah upzudaten.
Gruß
Alois
Hallo Alois und alle,
wisst Ihr, wie das mit den Belwue-Moodles aussieht? Kann man die einer bestimmten IP oder einem IP-Range zuordnen oder wie sieht das dort aus mit deren Clustern, Loadbalancern etc.?
Danke und viele Grüße,
Jochen
Hallo Jochen,
bei Belwue muss ich passen.
Gruß
Alois