Info | ||
---|---|---|
| ||
Diese Seite |
...
wird laufend erweitert. Primäres Anliegen dieser Seite ist, der Community im österreichischen Netz für Wissenschaft, Forschung, Bildung und Kultur eine schnelle Orientierung in |
...
der aktuellen Log4-Shell-Problematik zu bieten. |
Inhalt
Table of Contents |
---|
Intro
Viele Java-Anwendungen setzen zum Logging Log4j 2 ein. Bestimmte Loginhalte können dazu führen, daß Log4j 2 von einem beliebigen Server Code lädt und ausführt (Remote Code Execution).
...
Beispiele für populäre betroffene Anwendungen, die als verwundbar genannt werden (siehe auch Weblinks weiter unten):
- SOLR
- Confluence, Jira Servicedesk
- Elasticsearch?
- Hadoop
- Kafka
- Spark
- Struts (das allerdings auch andere Probleme hat)
...
- Hilfe zum Erkennen, ob ein Server vulnerable ist, bietet Huntress Log4Shell Vulnerability Tester
: https://log4shell.huntress.com/ - Angriffe können in Logfiles mit Hilfe von https://gist.github.com/Neo23x0/e4c8b03ff8cdf1fa63b.xxx 7d15db6e3860b gesucht werden.
Lösung
- Fall lokale JRE
upgrade - relativ leicht lösbar - Fall Anwendung mit eigener JRE
Upstream fixen - Bei Eigenentwicklungen
- aktuell verteilte Versionen prüfen
- im Deployment auf aktuelle Log4j-Version achten
...
Original-Webseite von lunasec, die die Schwachstelle entdeckt haben:
https://www.lunasec.io/docs/blog/log4j-zero-day/
Mitre CVE-2021-44228: Apache Log4j2 JNDI features do not protect against attacker controlled LDAP and other JNDI related endpoints.:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44228
...