News Log4j: Angriff auf belgisches Verteidigungsministerium

[Web-Schecki]

Nichts für ungut, aber, nein :-)

Schade, offenbar hast du ihn nicht verstanden und ich kann dich nur ermutigen, dir selbst mehr zuzutrauen und nicht so schnell das Handtuch zu werfen! Vielleicht klappt es ja beim zweiten Mal lesen :-)
Bei Rückfragen helfe ich auch gerne weiter!

 

[C4rp3di3m]

Danke aber warum bringt JAVA kein Hotfix raus?

mfg

 

[Piktogramm]

@C4rp3di3m
Java ist eine Insel, oder Programmiersprache.. Weder Inseln noch Programmiersprachen können Hotfixes herausbringen.

 

[Tada100]

@C4rp3di3m
Du meinst Apache, sie sind zuständig für die Libary ...steht im Artikelupdate.
Zitiere mal ebend NZZ (Log4shell , Log4j):
"Und alle müssen die Lücke bei sich schliessen."

Spoiler: NZZ Artikel Ausschnitt

In diesem Code steckt ein Problem, das lange niemand bemerkte. Weltweit verwenden viele Millionen von Programmen und Anwendungen diesen Schnipsel, fachsprachlich Software-Bibliothek genannt, und sind dadurch grosser Gefahr ausgesetzt. Das hat drei Gründe.


Erstens ist das Ausnutzen der Sicherheitslücke sehr einfach. Zweitens hat, wer immer dabei erfolgreich ist, grosse Macht. Er kann direkt auf das betroffene System zugreifen. Je nach Zugriffsrechten kann er darin schädliche Dinge tun, etwa Informationen klauen, den Rechner für eigene Zwecke nutzen oder lahmlegen. Der dritte Grund für die Gefahrenlage ist, dass die betroffene Software sehr weit verbreitet ist. Sie steckt in unzähligen Programmen und Anwendungen weltweit. Und alle müssen die Lücke bei sich schliessen.

 

[Stock86]

Wenn ich mir log4j2-scan .e xe runterlade und starte, passiert nichts.

Du kannst auch einfach deine Eingabeaufforderung starten (Windowssuche -> cmd oder Eingabeaufforderung) und dann die log4j2-scan.exe per Drag & Drop in das schwarze Fenster ziehen.

Dann erscheint dort der Programmpfad zur Exe und direkt dahinter schreibst du dann --all-drives --scan-log4j1 --scan-logback --scan-zip --fix

Sieht bei mir dann so aus:

Und zum Glück auch so:

 

[Andi07]

Nein, jegliche Software (egal ob Client oder Server) ist verwundbar. Das Beispiel Minecraft bringst du ja bereits. Wirklich alles ist verwundbar, vom Server, über Client, sogar das Auto (mit "Entertainment"-Gedöns), wenn es Java mit log4j nutzt, wäre verwundbar.

Hallo Yuuri und Hallo zusammen!

Vielen Dank!
Ich habe mal nachgesehen, ob log4j bei mir überhaupt installiert ist. Und nichts von log4j ist installiert.
Das einzige ist "perl-Log-Log4perl - Log4j implementation for Perl". Beschreibung unter https://www.perl.com/pub/2002/09/11/log4perl.html/.
Keine Ahnung, irgendwie geht es dabei um eine verfügbare Fehlerprotokollierung, ohne debuggen zu müssen.

Da log4j nicht installiert ist, die für mich verfügbare Version wäre übrigens die Version log4j 2.17.0-1.1, dann kann doch "perl-Log-Log4perl" (Log4j implementation for Perl) installiert bleiben, oder?

Dankeschön!


Gruß Andi

 

[pvcf]

Wenn ich mir log4j2-scan .e xe runterlade und starte, passiert nichts.

du musst erst ne console aufmachen (cmd) und dort dann die log4j2-scan .exe aufrufen, zum scannen vom laufwerk c machste
log4j2-scan .exe --drive c
dann warten...

edit: mist, @Stock86 war schneller

 

[22428216]

@Stock86 :

Danke erstmal für die Hilfe, auch an die anderen.
Bei deinem Befehl fragt er mich etwas ab. Er entfernt einige Klassen bei diesem Vorgang.
Kann ich das einfach machen?


" log4j2-scan .exe --drive c" ergab:

Minecraft.
Gibt es etwas, was ich jetzt machen kann. Also ich habe vorhin die neueste Java Version runtergeladen.

Sollte ich besser den Befehl mit den vielen Attributen ausführen, oder reicht die "einfache" Variante der 2ten Suche?

 

[Stock86]

Bei deinem Befehl fragt er mich etwas ab

Wenn du das --fix am Ende weglässt, kommt die Abfrage nicht.

Also ich habe vorhin die neueste Java Version runtergeladen.

Für Minecraft oder deinen PC generell? Damit updatest du dann ja nicht Minecraft. Gibt es vielleicht eine neue gepatchte Minecraft Version?

 

[DonConto]

Schade, offenbar hast du ihn nicht verstanden und ich kann dich nur ermutigen, dir selbst mehr zuzutrauen und nicht so schnell das Handtuch zu werfen! Vielleicht klappt es ja beim zweiten Mal lesen :-)
Bei Rückfragen helfe ich auch gerne weiter!

Natürlich. Ich bin froh, dass wir hier so kompetente Typen wie dich haben. Gibt leider viel zu viele Schwätzer da draußen.

 

[AlphaKaninchen]

Unterordner einer Anwendung befindet und somit dort auch dann möglicherweise gefährdete Software zu finden ist, wenn in der Konsole bei "java --version" die Meldung erscheint, dass der Befehl oder der Dateiname nicht gefunden wurde.

Das ist korrekt die Fragestellung war aber warum die jar nicht ging, und da muss nun mal die Variable gesetzt sein...

 

[luckyfreddy]

Eigentlich nicht, am 10.12 war zu lesen was das für Schwachstelle ist, und jedem der halbwegs was von IT versteht war an der Stelle klar, dass der Scheiß eskalieren wird. Die ersten mir bekannten, globalen Angriffe schlugen 14:15UTC auf.
Wer am 10.12 nicht angefangen hat alles mit der Axt zu bearbeiten was nach Java bzw. log4j aussah (edit: und bis Anfang 11.12 nicht fertig wurde) war danach ein Fall für die Forensik, da die Systeme sicher infiziert waren.

Das ist leider zu einfach gedacht. Die Identifizierung sollte den Administratoren tatsächlich möglich gewesen sein. Das Patchen ist aber eben genau nicht so einfach, da es sich hier meist um Bestandteile von meist fremden Programmen handelt und seltener um eigene Programme, dessen Implementierung nach außen hin oft nicht transparent ist. Ein einfacher Austausch der Library ist daher meist nicht möglich/zielführend.

Was man nur machen kann: ausschalten, bis auch die letzten Updates bereitstehen. Das hat dann mitunter aber andere Konsequenzen die nur schwer auszugleichen sind. Einfach mal ins Blaue geschossen: wenn plötzlich kein Geld mehr an den Bankautomaten abgehoben werden kann, oder die Parkhäuser still stehen, da die Automaten ausgeschaltet sind oder in den Kliniken plötzlich medizinische Geräte nicht mehr genutzt werden können, dann stellt dies ein signifikantes Problem dar.

Was ich aber auch sehe: die jeweiligen Hersteller dieser Anwendungen sollten im Zweifel "in Nachtschichten" an Lösungen arbeiten, denn es handelt sich um gravierende Risiken.

 

[AlphaKaninchen]

Danke aber warum bringt JAVA kein Hotfix raus?

mfg

Java hat einen Hotfix rausgebracht in der Form das Remote JDNI jetzt aktiv aktiviert werden muss (bisher konnte man es deaktivieren) Software die JDNI benötigt geht jetzt halt nicht mehr.

managedhosting.de

Durch die Sicherheitslücke verwundbar sind die Log4j Versionen 2.0-beta9 bis 2.14.1. Zusätzlich wird darauf verwiesen, dass alle Applikationen, die mindestens Java 8 U121 mit den Standardeinstellungen verwenden, selbst bei verwundbarer Log4j Version nicht kompromittierbar sind, da hier die Standardeinstellungen


com.sun.jndi.rmi.object.trustURLCodebase false
com.sun.jndi.cosnaming.object.trustURLCodebase false

Ergänzung (21. Dezember 2021)

@C4rp3di3m
Java ist eine Insel, oder Programmiersprache.. Weder Inseln noch Programmiersprachen können Hotfixes herausbringen.

Java ist aber eben auch die Umgebung der Software und kann diese durchaus beeinflussen, was auch gemacht wird siehe oben.

@NighteeeeeY z.B. ist sicher solange seine Software keine Standalone Java Runtime mitbringt...

 

[Web-Schecki]

Gibt leider viel zu viele Schwätzer da draußen.

Richtig. Ganz besonders schlimm sind diejenigen, die andere Aussagen, die sie offensichtlich nicht verstehen, als Geschwätz abtun und darauf unter falschen Annahmen antworten.

Es ehrt mich natürlich, dass du mich kompetent findest, aber ich würde mir das nie anmaßen. Bloß bei etwaigen Missverständnissen meiner Beiträge kann ich vielleicht helfen - immerhin habe ich sie selbst verfasst! Könnte natürlich fachlich trotzdem inkompetentes Geschwätz sein, aber für so eine Bewertung muss man sie sinnerfassend gelesen haben...

 

[22428216]

Für Minecraft oder deinen PC generell? Damit updatest du dann ja nicht Minecraft. Gibt es vielleicht eine neue gepatchte Minecraft Version?

Für den PC generell. Minecraft läuft via Curseforge. Aber da ich/wir es aktuell nicht mehr so spielen,
habe ich kurzen Prozess gemacht.
Da war es Java Version 1.8, oder so?!? Updaten konnte ich da in jedem Fall nichts.

Habe jetzt nur noch 3 potentielle Einträge! Adobe Acrobat 10.0


Das Programm findet eine Updates. Im Zweifel weg damit.
Oder gibt es bei so einem Fall jetzt eine Vorgehensweise, die man anwendet?

 

[BorstiNumberOne]

Die Programme? Oder die Dateien? Funktionieren die Programme ohne die Dateien dann nicht mehr? Oder könnte es sein dass sie trotzdem funktionieren? Bin ich schon in "Gefahr" wenn ich die Programme zum updaten öffne? Oder auf jeden Fall über den Deinstaller deinstallieren?

Du kannst auch zB mit 7Zip die Log4j Core JAR Datei öffnen, Dich durch die Ordner bis in den Unterordner „Lookup“ durchklicken und die JdniLookup.Class löschen. Nach dem Speichern des Archivs durch 7Zip fragt es nach der Aktualisierung und speichert Deine gemachte Änderung ab. Beim CVI, den man auf der Seite des BSI findet, ist der Weg zur genauen Lokalisation der Klasse komplett aufgeschlüsselt.

Ergänzung (21. Dezember 2021)

@22428216 @C4rp3di3m

Die Commandozeile mit Adminrechten öffnen in den Pfad der Datei log4j2-scan wechseln,
das in der Klammer() ohne "cmd" einfügen und enter drücken...
So schwer ist das nicht, vorrausgesetzt die Syntax stimmt.

Ich habe es in den ganzen Beiträgen hier irgendwie überlesen: Wo kann ich den log4j-scan genau herunterladen? Auf der Seite der Apache Foundation?

 

[Piktogramm]

Das ist leider zu einfach gedacht. Die Identifizierung sollte den Administratoren tatsächlich möglich gewesen sein. Das Patchen ist aber eben genau nicht so einfach[...]

Was man nur machen kann: ausschalten, bis auch die letzten Updates bereitstehen.[...]Einfach mal ins Blaue geschossen: wenn plötzlich kein Geld mehr an den Bankautomaten abgehoben werden kann, oder die Parkhäuser still stehen, da die Automaten ausgeschaltet sind oder in den Kliniken plötzlich medizinische Geräte nicht mehr genutzt werden können, dann stellt dies ein signifikantes Problem dar.[...]

Bei ner 10/10 muss gar nicht mehr sooo viel gedacht werden, vor allem da es ein Wettlauf war. Da ging es darum alles vom Netz zu nehmen, solang eine Ausnahme nicht gut begründbar war. Selbst bei diesen Ausnahmen wurden Umgebungsvariablen geändert, Javaklassen gelöscht und das alles mit viel weniger Tests als üblich und im Wissen, dass das mit der heißen Nadel gestrickt ist. Die Alternative war halt Server übernehmen lassen und/oder CERT über Wochen im Haus haben.

Bei deinen Beispielen, die Gegenstellen für kritische Automaten. Die sollten aus dem Internet nicht erreichbar sein bzw. nur durch über ein VPN. Kritisch wäre an so einer Stelle, dass die exponierten Dienste sauber sind. Persönlich würde ich da auch ein paar Stunden Ausfall in Kauf nehmen, aber ich habe mit Banken auch nichts am Hut. Bei Parkhäusern wäre es so richtig egal, ein paar Tage Schranken auf und gut.

Und der liebe medizinische Bereich. Der ist ohne Log4shell sowieso total kaputt. Stand der Technik ist, dass Medikamentenpumpen via telnet angesteuert werden können und Beatmungsmaschinen aussteigen, wenn sie mit IMCP-Paketen beworfen werden. Da ist Hopfen und Malz verloren, der Kram hängt Gott sei Dank jedoch oft nicht am Internet. Krankenkasse, Teile der Telematikinfrastruktur, Patientenverwaltungssysteme hat es aber ganz wunderbar getroffen. Oftmals auch, weil da am Montag festgestellt wurde, dass was getan werden sollte und man beschloss am Dienstag zu besprechen was/wie...

 

[Unnu]

würde ich aber schon die sehr niedrig gesetzte Anspruchshaltung haben, dass kritische, aktiv ausgenutzte CVEs nach über einer Woche gepatcht sind...

Wovon träumst Du nachts? 🤣
Wir sind immer noch in Neuländermässigen Digital-Dunkeldeutschland!

 

[HorstSan]

Ja und im Gegensatz zum Bundesministerium für Verteidigung haben die sogar Gerät welches zum Grossteil einsatzfähig ist.

Willst du mir jetzt weis machen, dass du die Statistiken zur Einsatzbereitschaft der belgischen Armee kennst?

@Unnu das letzte mal als ich auf eine aktuelle Karte geschaut hab, war Belgien kein Teil von Deutschland.

 

[Darkman.X]

Ich habe es in den ganzen Beiträgen hier irgendwie überlesen: Wo kann ich den log4j-scan genau herunterladen? Auf der Seite der Apache Foundation?

Siehe hier, Beitrag #6:

Zum Scan des eigenen PC -> https://github.com/logpresso/CVE-2021-44228-Scanner
Zum Scan von URLs -> https://github.com/fullhunt/log4j-scan