BSI Warnstufe Rot log4j
12. Dezember 2021 11:14
Kritische Schwachstelle in log4j veröffentlicht (CVE-2021-44228)
https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2021/2021-549032-10F2.html
https://nvd.nist.gov/vuln/detail/CVE-2021-44228
https://www.tagesschau.de/inland/bsi-schadsoftware-103.html
Inoffizielle Listen betroffener Systeme
https://gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592
https://github.com/YfryTchsGD/Log4jAttackSurface
https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2021/2021-549032-10F2.html
https://nvd.nist.gov/vuln/detail/CVE-2021-44228
https://www.tagesschau.de/inland/bsi-schadsoftware-103.html
Inoffizielle Listen betroffener Systeme
https://gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592
https://github.com/YfryTchsGD/Log4jAttackSurface
Re: BSI Warnstufe Rot log4j
14. Dezember 2021 13:47
Aus:
C:\Users\<UserName>\.vscode\extensions\joneug.mdal-0.3.0\mdal\lib\log4j-1.2.17.jar
C:\Users\<UserName>\.vscode\extensions\joneug.mdal-0.4.1\mdal\lib\log4j-1.2.17.jar
Angeblich sollen aber nur log4j von Version 2.0-beta9 bis 2.14.1 von der Sicherheitslücke betroffen sein.
Achtung: Diese Extension enthält die log4j-Bibliothek in Version 1.2.17.
C:\Users\<UserName>\.vscode\extensions\joneug.mdal-0.3.0\mdal\lib\log4j-1.2.17.jar
C:\Users\<UserName>\.vscode\extensions\joneug.mdal-0.4.1\mdal\lib\log4j-1.2.17.jar
Angeblich sollen aber nur log4j von Version 2.0-beta9 bis 2.14.1 von der Sicherheitslücke betroffen sein.
Re: BSI Warnstufe Rot log4j
14. Dezember 2021 15:14
Hallo,
auch der MS- SQL-Server enthält unter "C:\Program Files\Microsoft SQL Server\150\DTS\Extensions\Common\Jars" die "log4j-1.2.17.jar"
Gruß Fiddi
auch der MS- SQL-Server enthält unter "C:\Program Files\Microsoft SQL Server\150\DTS\Extensions\Common\Jars" die "log4j-1.2.17.jar"
Gruß Fiddi
Re: BSI Warnstufe Rot log4j
14. Dezember 2021 15:22
fiddi hat geschrieben:auch der MS- SQL-Server enthält unter "C:\Program Files\Microsoft SQL Server\150\DTS\Extensions\Common\Jars" die "log4j-1.2.17.jar"
Es sollen wohl nur die log4j von Version 2.0-beta9 bis 2.14.1 von der Sicherheitslücke betroffen sein, hatte ich vorhin oben noch nachgetragen.
Kritische Zero-Day-Lücke in Log4j gefährdet zahlreiche Server und Apps
Re: BSI Warnstufe Rot log4j
14. Dezember 2021 15:29
Hallo,
https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2021/2021-549032-10F2.pdf?__blob=publicationFile&v=8
Zitat:
Gruß Fiddi
https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2021/2021-549032-10F2.pdf?__blob=publicationFile&v=8
Zitat:
BSI hat geschrieben:Update 4:
Inzwischen wurde die Liste mit der Informationssammlung durch NCSC-NL [NCSC2021] veröffentlicht.
Entgegen der anderslautenden ursprünglichen Annahme ist Berichten zufolge die Programmbibliothek auch
in den Versionen 1.x verwundbar. In diesen Fällen sei die Verwundbarkeit jedoch nur über eine schadhafte
Programmkonfiguration ausnutzbar, sodass eine Ausnutzung weit weniger wahrscheinlich erscheint. [GIT2021d]
Gruß Fiddi
Re: BSI Warnstufe Rot log4j
14. Dezember 2021 15:47
Zitat:
Das passiert, wenn man die unsupporteten Versionen erst später prüft
.
https://logging.apache.org/log4j/2.0/security.html
BSI hat geschrieben:Entgegen der anderslautenden ursprünglichen Annahme ist Berichten zufolge die Programmbibliothek auch
in den Versionen 1.x verwundbar.
Das passiert, wenn man die unsupporteten Versionen erst später prüft
.https://logging.apache.org/log4j/2.0/security.html
Please note that Log4j 1.x has reached end of life and is no longer supported. Vulnerabilities reported after August 2015 against Log4j 1.x were not checked and will not be fixed.
Re: BSI Warnstufe Rot log4j
15. Dezember 2021 14:03
Mittlerweile wurde auch Version 1.x geprüft - frisch von der Apache-Seite: https://logging.apache.org/log4j/2.0/security.html
Log4j 1.x mitigation: Log4j 1.x does not have Lookups so the risk is lower. Applications using Log4j 1.x are only vulnerable to this attack when they use JNDI in their configuration. A separate CVE (CVE-2021-4104) has been filed for this vulnerability. To mitigate: audit your logging configuration to ensure it has no JMSAppender configured. Log4j 1.x configurations without JMSAppender are not impacted by this vulnerability.
Viele Grüße
Mike
Log4j 1.x mitigation: Log4j 1.x does not have Lookups so the risk is lower. Applications using Log4j 1.x are only vulnerable to this attack when they use JNDI in their configuration. A separate CVE (CVE-2021-4104) has been filed for this vulnerability. To mitigate: audit your logging configuration to ensure it has no JMSAppender configured. Log4j 1.x configurations without JMSAppender are not impacted by this vulnerability.
Viele Grüße
Mike
Re: BSI Warnstufe Rot log4j
17. Dezember 2021 09:08
In diesem Video wird erläutert, worin die Schwachstelle liegt.
Wie genau FUNKTIONIERT die LOG4J SCHWACHSTELLE? (ganz EINFACH erklärt)
Wie genau FUNKTIONIERT die LOG4J SCHWACHSTELLE? (ganz EINFACH erklärt)
Re: BSI Warnstufe Rot log4j
23. Dezember 2021 12:13