Seite 1 von 1

BSI Warnstufe Rot log4j

Verfasst: 12. Dezember 2021 11:14
von Kowa

Re: BSI Warnstufe Rot log4j

Verfasst: 14. Dezember 2021 13:47
von Kowa
Aus:
Kowa hat geschrieben:Extension für modellgetriebene Entwicklung.
mdAL
Achtung: Diese Extension enthält die log4j-Bibliothek in Version 1.2.17.
C:\Users\<UserName>\.vscode\extensions\joneug.mdal-0.3.0\mdal\lib\log4j-1.2.17.jar
C:\Users\<UserName>\.vscode\extensions\joneug.mdal-0.4.1\mdal\lib\log4j-1.2.17.jar
Angeblich sollen aber nur log4j von Version 2.0-beta9 bis 2.14.1 von der Sicherheitslücke betroffen sein.

Re: BSI Warnstufe Rot log4j

Verfasst: 14. Dezember 2021 15:14
von fiddi
Hallo,

auch der MS- SQL-Server enthält unter "C:\Program Files\Microsoft SQL Server\150\DTS\Extensions\Common\Jars" die "log4j-1.2.17.jar"

Gruß Fiddi

Re: BSI Warnstufe Rot log4j

Verfasst: 14. Dezember 2021 15:22
von Kowa
fiddi hat geschrieben:auch der MS- SQL-Server enthält unter "C:\Program Files\Microsoft SQL Server\150\DTS\Extensions\Common\Jars" die "log4j-1.2.17.jar"

Es sollen wohl nur die log4j von Version 2.0-beta9 bis 2.14.1 von der Sicherheitslücke betroffen sein, hatte ich vorhin oben noch nachgetragen.
Kritische Zero-Day-Lücke in Log4j gefährdet zahlreiche Server und Apps

Re: BSI Warnstufe Rot log4j

Verfasst: 14. Dezember 2021 15:29
von fiddi
Hallo,

https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2021/2021-549032-10F2.pdf?__blob=publicationFile&v=8

Zitat:
BSI hat geschrieben:Update 4:
Inzwischen wurde die Liste mit der Informationssammlung durch NCSC-NL [NCSC2021] veröffentlicht.
Entgegen der anderslautenden ursprünglichen Annahme ist Berichten zufolge die Programmbibliothek auch
in den Versionen 1.x verwundbar.
In diesen Fällen sei die Verwundbarkeit jedoch nur über eine schadhafte
Programmkonfiguration ausnutzbar, sodass eine Ausnutzung weit weniger wahrscheinlich erscheint. [GIT2021d]


Gruß Fiddi

Re: BSI Warnstufe Rot log4j

Verfasst: 14. Dezember 2021 15:47
von Kowa
Zitat:
BSI hat geschrieben:Entgegen der anderslautenden ursprünglichen Annahme ist Berichten zufolge die Programmbibliothek auch
in den Versionen 1.x verwundbar.

Das passiert, wenn man die unsupporteten Versionen erst später prüft :roll: .
https://logging.apache.org/log4j/2.0/security.html
Please note that Log4j 1.x has reached end of life and is no longer supported. Vulnerabilities reported after August 2015 against Log4j 1.x were not checked and will not be fixed.

Re: BSI Warnstufe Rot log4j

Verfasst: 15. Dezember 2021 14:03
von Mike24
Mittlerweile wurde auch Version 1.x geprüft - frisch von der Apache-Seite: https://logging.apache.org/log4j/2.0/security.html

Log4j 1.x mitigation: Log4j 1.x does not have Lookups so the risk is lower. Applications using Log4j 1.x are only vulnerable to this attack when they use JNDI in their configuration. A separate CVE (CVE-2021-4104) has been filed for this vulnerability. To mitigate: audit your logging configuration to ensure it has no JMSAppender configured. Log4j 1.x configurations without JMSAppender are not impacted by this vulnerability.

Viele Grüße
Mike

Re: BSI Warnstufe Rot log4j

Verfasst: 17. Dezember 2021 09:08
von Kowa
In diesem Video wird erläutert, worin die Schwachstelle liegt.
Wie genau FUNKTIONIERT die LOG4J SCHWACHSTELLE? (ganz EINFACH erklärt)

Re: BSI Warnstufe Rot log4j

Verfasst: 23. Dezember 2021 12:13
von Kowa