BSI Warnstufe Rot log4j
Verfasst: 12. Dezember 2021 11:14
von Kowa
Re: BSI Warnstufe Rot log4j
Verfasst: 14. Dezember 2021 13:47
von Kowa
Aus:
Achtung: Diese Extension enthält die log4j-Bibliothek in Version 1.2.17.
C:\Users\<UserName>\.vscode\extensions\joneug.mdal-0.3.0\mdal\lib\log4j-1.2.17.jarC:\Users\<UserName>\.vscode\extensions\joneug.mdal-0.4.1\mdal\lib\log4j-1.2.17.jarAngeblich sollen aber nur log4j von Version 2.0-beta9 bis 2.14.1 von der Sicherheitslücke betroffen sein.
Re: BSI Warnstufe Rot log4j
Verfasst: 14. Dezember 2021 15:14
von fiddi
Hallo,
auch der MS- SQL-Server enthält unter "C:\Program Files\Microsoft SQL Server\150\DTS\Extensions\Common\Jars" die "log4j-1.2.17.jar"
Gruß Fiddi
Re: BSI Warnstufe Rot log4j
Verfasst: 14. Dezember 2021 15:22
von Kowa
fiddi hat geschrieben:auch der MS- SQL-Server enthält unter "C:\Program Files\Microsoft SQL Server\150\DTS\Extensions\Common\Jars" die "log4j-1.2.17.jar"
Es sollen wohl nur die log4j von Version 2.0-beta9 bis 2.14.1 von der Sicherheitslücke betroffen sein, hatte ich vorhin oben noch nachgetragen.
Kritische Zero-Day-Lücke in Log4j gefährdet zahlreiche Server und Apps
Re: BSI Warnstufe Rot log4j
Verfasst: 14. Dezember 2021 15:29
von fiddi
Hallo,
https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2021/2021-549032-10F2.pdf?__blob=publicationFile&v=8Zitat:
BSI hat geschrieben:Update 4:
Inzwischen wurde die Liste mit der Informationssammlung durch NCSC-NL [NCSC2021] veröffentlicht.
Entgegen der anderslautenden ursprünglichen Annahme ist Berichten zufolge die Programmbibliothek auch
in den Versionen 1.x verwundbar. In diesen Fällen sei die Verwundbarkeit jedoch nur über eine schadhafte
Programmkonfiguration ausnutzbar, sodass eine Ausnutzung weit weniger wahrscheinlich erscheint. [GIT2021d]
Gruß Fiddi
Re: BSI Warnstufe Rot log4j
Verfasst: 14. Dezember 2021 15:47
von Kowa
Zitat:
BSI hat geschrieben:Entgegen der anderslautenden ursprünglichen Annahme ist Berichten zufolge die Programmbibliothek auch
in den Versionen 1.x verwundbar.
Das passiert, wenn man die unsupporteten Versionen erst später prüft
.
https://logging.apache.org/log4j/2.0/security.htmlPlease note that Log4j 1.x has reached end of life and is no longer supported. Vulnerabilities reported after August 2015 against Log4j 1.x were not checked and will not be fixed.
Re: BSI Warnstufe Rot log4j
Verfasst: 15. Dezember 2021 14:03
von Mike24
Mittlerweile wurde auch Version 1.x geprüft - frisch von der Apache-Seite:
https://logging.apache.org/log4j/2.0/security.html Log4j 1.x mitigation: Log4j 1.x does not have Lookups so the risk is lower. Applications using Log4j 1.x are only vulnerable to this attack when they use JNDI in their configuration. A separate CVE (CVE-2021-4104) has been filed for this vulnerability. To mitigate: audit your logging configuration to ensure it has no JMSAppender configured. Log4j 1.x configurations without JMSAppender are not impacted by this vulnerability.
Viele Grüße
Mike
Re: BSI Warnstufe Rot log4j
Verfasst: 17. Dezember 2021 09:08
von Kowa
Re: BSI Warnstufe Rot log4j
Verfasst: 23. Dezember 2021 12:13
von Kowa