log4j

    Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

    • log4j

      Hallo zusammen,

      weiß jemand ob das VTI Image 15.0.0 von der log4j Sicherheitslücke betroffen ist?

      Falls ja, wird es ein Update geben, oder kann man selber was machen? Bei mir stehen jedenfalls keine neuen Updates zur Verfügung.

      VG shellfee

    • shellfee schrieb:

      wird es ein Update geben
      das war meine erste Reaktion auf die Frage: :happy1:

      aber, falls es Image oder Plugins betreffen sollte, hoffe ich, dass man was tut
      Grüße, der SattSeher

      --------------------------------------------------------------
      Skin: Obelix
      Empfang: Astra 19.2

      Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von satt-seher ()

    • log4j wäre ja etwas, was mit dem openwebif zusammenhängen würde. Im gesamten Source Code vom openwebif auf github gibt es aber keine Verwendung der log4j logging methoden

      Daher wird die Box nicht betroffen sein.

    • Nö, müsste nicht mit OpenWebif zu tun haben. Als ich auf heise den Artikel dazu gelesen habe, wie die Einfallstore sind, ist mir schlecht geworden.

      Es gab mal irgendein Paket, das Java verwendet hat; Java hab ich bei mir auch noch installiert, aber kein Paket mehr, welches das benutzt (opkg whatdepends oracle-jse-jdk). Das Java-Paket bringt auch kein log4j mit, von daher sind wir nicht betroffen.

      Und ich würde wetten: selbst wenn log4j dabei wäre, wäre die installierte Version zu alt für die Lücke (die sollte man eigentlich Scheunentor oder besser Hangartor nennen).
      Diskutiere nie mit einem Idioten. Er zieht dich auf sein Niveau runter und schlägt dich mit seiner Erfahrung.

    • rdamas schrieb:

      Und ich würde wetten: selbst wenn log4j dabei wäre, wäre die installierte Version zu alt für die Lücke (die sollte man eigentlich Scheunentor oder besser Hangartor nennen).
      Das ist die positive Seite der Medaille. Die negative ist, daß dafür eventuell beliebig viele andere uralte Software mit Sicherheitslücken drinstecken kann, die außerhalb schon lange gefixt sind.

      Die Box sollte einfach niemals per Internet erreichbar sein…

      Oliver

      Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von OliverSo ()

    • Es sei denn, man aktualisiert die Software selber (was ich bei mir mache).

      Aber ich gebe dir absolut recht - mit einer Einschränkung: die Box sollte niemals per Portforwarding aus dem Internet erreichbar sein, weil ich das OpenWebif für das potenziell größte Einfallstor halte - ohne dir direkt eine Lücke nennen zu können.

      Den Zugriff über einen Tunnel halte ich für ungefährlich.
      Diskutiere nie mit einem Idioten. Er zieht dich auf sein Niveau runter und schlägt dich mit seiner Erfahrung.

    • rdamas schrieb:

      Nö, müsste nicht mit OpenWebif zu tun haben. Als ich auf heise den Artikel dazu gelesen habe, wie die Einfallstore sind, ist mir schlecht geworden.
      Ich habe deshalb auf das openwebif hingeweisen, weil dort javascript verwendet wird und es auch eine Möglichkeit gibt, von dort aus log4j zu nutzen.

      Die Lücke ist ja die, dass in der Java Software ein Logging mittels der lib log4j genutzt wird und dabei dann der zu loggende Text nochmal vorarbeitet wird und man deshalb von andren URLs Code einschleusen kann, wenn diese im zu loggenden Text enthalten sind. Dazu muss aber ein logging aktiv sein und man muss auch diese gefährlichen URLs von außen eingeben können, z.b. durch falsche Benutznamen oder so etwas. Daher war für mich klar, dass das beim vti eigentlich nur das openweb sein könnte, da damit ja einige Möglichkeiten existieren, solche falschen Userdaten an die Box auszuliefern. Im enigma selber wird ja kein log4j genutzt. Sonstige Pakete, wo es sowas gibt, waren mir auch nicht bekannt.

      Generell kann natürlich jeder Code (vorzugsweise JAVA ) og4j nutzen

      Dieser Beitrag wurde bereits 2 mal editiert, zuletzt von anudanan ()

    • Nein, Javascript hat außer den ersten vier Buchstaben nichts mit Java gemeinsam. Mit Javascript (das läuft in der Regel im Browser) kannst du kein log4j ansprechen (das läuft immer auf dem Server), ohne dass auf dem Server auch ein Java-Programm läuft, was direkt oder indirekt irgendwelche Request vom Javascript verarbeitet.

      Indirekt, weil auf Heise als Beispiel erwähnt wurde, dass Mails von einem Java-Programm verarbeitet werden könnten, was wiederum die Lücke ausnutzen könnte. Trifft natürlich auf unsere Boxen nicht zu.
      Diskutiere nie mit einem Idioten. Er zieht dich auf sein Niveau runter und schlägt dich mit seiner Erfahrung.

      Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von rdamas ()

    • auch das Oracl-jdk sollte man immer auf dem neuesten Stand halten:

      Java Downloads | Oracle

      Auf meinen Mac's erledigt das "CleanMyMac X° bzw. °MacUpdater°...
      Niemand ist perfekt !

    • Zum Stichwort Javascript:
      Inzwischen ist bekannt dass log4j auch per Sockets, welche zB aus einem Browser aus Javascript gestartet werden können, ausgenutzt werden kann... Stand heute auf Golem (hat das Sicherheitsunternehmen Blumira entdeckt), mich hat auch nur in dieser Hinsicht beruhigt, dass bei Enigma2 kaum ein Plugin auf Java setzt und die Portierungen von log4j in anderen Sprachen sollen ja zum Glück nicht betroffen sein. Allerdings erinnere ich mich, dass es schon irgendeine Verwendung von Java gab, ich weiß einfach nur nicht mehr was das war.

    • Liest sich jetzt nicht so viel anders als die schon bekannt Lücke, nur etwas komplizierter und über einen anderen Weg (Websocket) ausnutzbar. Und der bei Golem verlinkte ZDNet Artikel geht ja mal gar nicht...

      Ich weiß auch nicht mehr, wozu das Java-Paket gut war, evtl. wurde es für ein Programm von @hmmmdada benötigt.
      Diskutiere nie mit einem Idioten. Er zieht dich auf sein Niveau runter und schlägt dich mit seiner Erfahrung.

    • Ja stimmt der Weg ist ähnlich nur per Websockets kann der Angriff jetzt aus einem Browser kommen, das ist natürlich ein weiteres Einfallstor.
      Jetzt habe ich es gefunden, beim Kompilieren des Images (VTI) musste ich aus einem mir unbekannten Grund Java JRE installlieren. Aber das ist schon ewig lang her und muss außerdem überhaupt nicht heißen, dass es dann auch im VTI verwendet wird.
      openvuplus kompilieren
      Ich schätzte es auch so ein, dass einfach ganz andere Lücken existieren die wesentlich gefährlicher auf der VU+ sind, als log4j

      Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von viebrix ()

    • viebrix schrieb:

      Ja stimmt der Weg ist ähnlich nur per Websockets kann der Angriff jetzt aus einem Browser kommen
      Nein, der Angriff kann schon von vorherein aus einem Browser kommen, nur viel leichter, indem man die passende Zeichenfolge in z.B. einen Suchschlitz schreibt. Alles, was in irgendeiner Form Requests auf einem Server mit Java verarbeitet und log4j2 benutzt, kann das Scheunentor enthalten.
      Diskutiere nie mit einem Idioten. Er zieht dich auf sein Niveau runter und schlägt dich mit seiner Erfahrung.

    • Stimmt, aber jetzt muss ich keinen Server mehr haben. Es reicht ein Javaprogramm im eigenen Netz, dass auf Websockets reagiert. Ich öffne eine Seite im Web die ein solches Javascript beinhaltet, dieses scannt mein Netz ab - findet den offenen Socket - sendet den JNDI Request, - log4j logged diesen ruft somit den Link auf dem Schadsoftwareserver auf und läd eine Malware herunter und führt diese aus.

      Natürlich konnte das auch passieren wenn man einen Webserver im eigenen Netz mit log4j hatte (der Browser öffnet eine Seite die den Request an den internen Webserver schickt, der das dann in log4j mitlogged und per JNDI die Maleware auf den internen Webser lädt), aber jetzt muss es kein Webserver sein. Einfach ein Javaprogramm dass für zB einen Chat einen Websocket offen hat...