BSI Warnstufe Rot log4j

Bild Hier könnt ihr euch über alles mögliche unterhalten, dabei muss es sich nicht um Microsoft Dynamics drehen.

BSI Warnstufe Rot log4j

Beitragvon Kowa » 12. Dezember 2021 11:14

GruĂź, Kai

Frage beantwortet? Schreibe bitte [Gelöst] vor den Titel des ersten Beitrags.
Bitte erst suchen, dann fragen. Bitte beachte den kleinen Community-Knigge.
Kein Support per PN, Mail, Messenger oder Telefon! DafĂĽr ist dieses Forum da.

Download: Dynamics NAV Object Text Explorer (Alternativlink). MVP Alumni
Benutzeravatar
Kowa
Moderator
Moderator
 
Beiträge: 7835
Registriert: 17. Juni 2005 17:32
Wohnort: Bremen
Realer Name: Kai Kowalewski
Arbeitsort: Osterholz-Scharmbeck
Bezug zu Microsoft Dynamics: Microsoft Partner
Microsoft Dynamics Produkt: Microsoft Dynamics 365
Microsoft Dynamics Version: BC, NAV 2018 bis Navision 2.01

Re: BSI Warnstufe Rot log4j

Beitragvon Kowa » 14. Dezember 2021 13:47

Aus:
Kowa hat geschrieben:Extension fĂĽr modellgetriebene Entwicklung.
mdAL
Achtung: Diese Extension enthält die log4j-Bibliothek in Version 1.2.17.
C:\Users\<UserName>\.vscode\extensions\joneug.mdal-0.3.0\mdal\lib\log4j-1.2.17.jar
C:\Users\<UserName>\.vscode\extensions\joneug.mdal-0.4.1\mdal\lib\log4j-1.2.17.jar
Angeblich sollen aber nur log4j von Version 2.0-beta9 bis 2.14.1 von der SicherheitslĂĽcke betroffen sein.
GruĂź, Kai

Frage beantwortet? Schreibe bitte [Gelöst] vor den Titel des ersten Beitrags.
Bitte erst suchen, dann fragen. Bitte beachte den kleinen Community-Knigge.
Kein Support per PN, Mail, Messenger oder Telefon! DafĂĽr ist dieses Forum da.

Download: Dynamics NAV Object Text Explorer (Alternativlink). MVP Alumni
Benutzeravatar
Kowa
Moderator
Moderator
 
Beiträge: 7835
Registriert: 17. Juni 2005 17:32
Wohnort: Bremen
Realer Name: Kai Kowalewski
Arbeitsort: Osterholz-Scharmbeck
Bezug zu Microsoft Dynamics: Microsoft Partner
Microsoft Dynamics Produkt: Microsoft Dynamics 365
Microsoft Dynamics Version: BC, NAV 2018 bis Navision 2.01

Re: BSI Warnstufe Rot log4j

Beitragvon fiddi » 14. Dezember 2021 15:14

Hallo,

auch der MS- SQL-Server enthält unter "C:\Program Files\Microsoft SQL Server\150\DTS\Extensions\Common\Jars" die "log4j-1.2.17.jar"

GruĂź Fiddi
Wer aufhört besser zu werden, hat aufgehört gut zu sein. (frei nach Philip Rosenthal)
Frage beantwortet? Schreibe bitte [Gelöst] vor den Titel des ersten Beitrags.
Bitte erst suchen, dann fragen. Bitte beachte den kleinen Community-Knigge.
Kein Support per PN, Mail, IM oder Telefon! DafĂĽr ist dieses Forum da.
fiddi
Moderator
Moderator
 
Beiträge: 7091
Registriert: 9. Juni 2008 10:13
Realer Name: Hans Heinrich Fiddelke
Arbeitsort: Bremen
Bezug zu Microsoft Dynamics: Microsoft Partner
Microsoft Dynamics Produkt: Microsoft Dynamics NAV
Microsoft Dynamics Version: NAV2.6-aktuell

Re: BSI Warnstufe Rot log4j

Beitragvon Kowa » 14. Dezember 2021 15:22

fiddi hat geschrieben:auch der MS- SQL-Server enthält unter "C:\Program Files\Microsoft SQL Server\150\DTS\Extensions\Common\Jars" die "log4j-1.2.17.jar"

Es sollen wohl nur die log4j von Version 2.0-beta9 bis 2.14.1 von der SicherheitslĂĽcke betroffen sein, hatte ich vorhin oben noch nachgetragen.
Kritische Zero-Day-Lücke in Log4j gefährdet zahlreiche Server und Apps
GruĂź, Kai

Frage beantwortet? Schreibe bitte [Gelöst] vor den Titel des ersten Beitrags.
Bitte erst suchen, dann fragen. Bitte beachte den kleinen Community-Knigge.
Kein Support per PN, Mail, Messenger oder Telefon! DafĂĽr ist dieses Forum da.

Download: Dynamics NAV Object Text Explorer (Alternativlink). MVP Alumni
Benutzeravatar
Kowa
Moderator
Moderator
 
Beiträge: 7835
Registriert: 17. Juni 2005 17:32
Wohnort: Bremen
Realer Name: Kai Kowalewski
Arbeitsort: Osterholz-Scharmbeck
Bezug zu Microsoft Dynamics: Microsoft Partner
Microsoft Dynamics Produkt: Microsoft Dynamics 365
Microsoft Dynamics Version: BC, NAV 2018 bis Navision 2.01

Re: BSI Warnstufe Rot log4j

Beitragvon fiddi » 14. Dezember 2021 15:29

Hallo,

https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2021/2021-549032-10F2.pdf?__blob=publicationFile&v=8

Zitat:
BSI hat geschrieben:Update 4:
Inzwischen wurde die Liste mit der Informationssammlung durch NCSC-NL [NCSC2021] veröffentlicht.
Entgegen der anderslautenden ursprĂĽnglichen Annahme ist Berichten zufolge die Programmbibliothek auch
in den Versionen 1.x verwundbar.
In diesen Fällen sei die Verwundbarkeit jedoch nur über eine schadhafte
Programmkonfiguration ausnutzbar, sodass eine Ausnutzung weit weniger wahrscheinlich erscheint. [GIT2021d]


GruĂź Fiddi
Wer aufhört besser zu werden, hat aufgehört gut zu sein. (frei nach Philip Rosenthal)
Frage beantwortet? Schreibe bitte [Gelöst] vor den Titel des ersten Beitrags.
Bitte erst suchen, dann fragen. Bitte beachte den kleinen Community-Knigge.
Kein Support per PN, Mail, IM oder Telefon! DafĂĽr ist dieses Forum da.
fiddi
Moderator
Moderator
 
Beiträge: 7091
Registriert: 9. Juni 2008 10:13
Realer Name: Hans Heinrich Fiddelke
Arbeitsort: Bremen
Bezug zu Microsoft Dynamics: Microsoft Partner
Microsoft Dynamics Produkt: Microsoft Dynamics NAV
Microsoft Dynamics Version: NAV2.6-aktuell

Re: BSI Warnstufe Rot log4j

Beitragvon Kowa » 14. Dezember 2021 15:47

Zitat:
BSI hat geschrieben:Entgegen der anderslautenden ursprĂĽnglichen Annahme ist Berichten zufolge die Programmbibliothek auch
in den Versionen 1.x verwundbar.

Das passiert, wenn man die unsupporteten Versionen erst später prüft :roll: .
https://logging.apache.org/log4j/2.0/security.html
Please note that Log4j 1.x has reached end of life and is no longer supported. Vulnerabilities reported after August 2015 against Log4j 1.x were not checked and will not be fixed.
GruĂź, Kai

Frage beantwortet? Schreibe bitte [Gelöst] vor den Titel des ersten Beitrags.
Bitte erst suchen, dann fragen. Bitte beachte den kleinen Community-Knigge.
Kein Support per PN, Mail, Messenger oder Telefon! DafĂĽr ist dieses Forum da.

Download: Dynamics NAV Object Text Explorer (Alternativlink). MVP Alumni
Benutzeravatar
Kowa
Moderator
Moderator
 
Beiträge: 7835
Registriert: 17. Juni 2005 17:32
Wohnort: Bremen
Realer Name: Kai Kowalewski
Arbeitsort: Osterholz-Scharmbeck
Bezug zu Microsoft Dynamics: Microsoft Partner
Microsoft Dynamics Produkt: Microsoft Dynamics 365
Microsoft Dynamics Version: BC, NAV 2018 bis Navision 2.01

Re: BSI Warnstufe Rot log4j

Beitragvon Mike24 » 15. Dezember 2021 14:03

Mittlerweile wurde auch Version 1.x geprĂĽft - frisch von der Apache-Seite: https://logging.apache.org/log4j/2.0/security.html

Log4j 1.x mitigation: Log4j 1.x does not have Lookups so the risk is lower. Applications using Log4j 1.x are only vulnerable to this attack when they use JNDI in their configuration. A separate CVE (CVE-2021-4104) has been filed for this vulnerability. To mitigate: audit your logging configuration to ensure it has no JMSAppender configured. Log4j 1.x configurations without JMSAppender are not impacted by this vulnerability.

Viele GrĂĽĂźe
Mike
Benutzeravatar
Mike24
Microsoft Partner
Microsoft Partner
 
Beiträge: 394
Registriert: 28. Juni 2012 14:05
Realer Name: Mike
Arbeitsort: Dortmund
Bezug zu Microsoft Dynamics: Microsoft Partner
Microsoft Dynamics Produkt: Microsoft Dynamics NAV
Microsoft Dynamics Version: 2.6 - BC

Re: BSI Warnstufe Rot log4j

Beitragvon Kowa » 17. Dezember 2021 09:08

In diesem Video wird erläutert, worin die Schwachstelle liegt.
Wie genau FUNKTIONIERT die LOG4J SCHWACHSTELLE? (ganz EINFACH erklärt)
GruĂź, Kai

Frage beantwortet? Schreibe bitte [Gelöst] vor den Titel des ersten Beitrags.
Bitte erst suchen, dann fragen. Bitte beachte den kleinen Community-Knigge.
Kein Support per PN, Mail, Messenger oder Telefon! DafĂĽr ist dieses Forum da.

Download: Dynamics NAV Object Text Explorer (Alternativlink). MVP Alumni
Benutzeravatar
Kowa
Moderator
Moderator
 
Beiträge: 7835
Registriert: 17. Juni 2005 17:32
Wohnort: Bremen
Realer Name: Kai Kowalewski
Arbeitsort: Osterholz-Scharmbeck
Bezug zu Microsoft Dynamics: Microsoft Partner
Microsoft Dynamics Produkt: Microsoft Dynamics 365
Microsoft Dynamics Version: BC, NAV 2018 bis Navision 2.01

Re: BSI Warnstufe Rot log4j

Beitragvon Kowa » 23. Dezember 2021 12:13

GruĂź, Kai

Frage beantwortet? Schreibe bitte [Gelöst] vor den Titel des ersten Beitrags.
Bitte erst suchen, dann fragen. Bitte beachte den kleinen Community-Knigge.
Kein Support per PN, Mail, Messenger oder Telefon! DafĂĽr ist dieses Forum da.

Download: Dynamics NAV Object Text Explorer (Alternativlink). MVP Alumni
Benutzeravatar
Kowa
Moderator
Moderator
 
Beiträge: 7835
Registriert: 17. Juni 2005 17:32
Wohnort: Bremen
Realer Name: Kai Kowalewski
Arbeitsort: Osterholz-Scharmbeck
Bezug zu Microsoft Dynamics: Microsoft Partner
Microsoft Dynamics Produkt: Microsoft Dynamics 365
Microsoft Dynamics Version: BC, NAV 2018 bis Navision 2.01


ZurĂĽck zu Klatsch & Tratsch

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 1 Gast

cron