Hallo KaaLUGS,
wer log4j, Tomcat oder auch einen Minecraft-Server betreibt, der wird Handlungsbedarf haben: Das BSI hat inzwischen die Warnstufe auf ROT erhöht!

isc.sans.edu/vuln.html?cve=2021-44228
isc.sans.edu/forums/diary/Log4j+Log4Shell+Followup+What+we+see+and+how+to+defend+and+how+to+access+our+data/28122/
www.bsi.bund.de/DE/Service-Navi/Presse/Pressemitteilungen/Presse2021/211211_log4Shell_WarnstufeRot.html

• This is not a problem with Apache. The Apache Software Foundation maintains log4j2. They do a lot of great stuff, not just the webserver. Log4j is not part of the Apache webserver.
• Not all software using Java is vulnerable. Only software that includes the log4j2 library is vulnerable.
• Any string that is logged via log4j2 could potentially be used to exploit this vulnerability.
• Only log4j2 is vulnerable. The older log4j (no "2") is not vulnerable. But people often say "log4j" to include either version.
• There is no generic "log4j2" patch to patch everything. In some cases, vendors including log4j, need to patch their software to include the new version. (you still should apply any patches patching the log4j2 library on your system)
• Exploitability depends on the Java version and how log4j2 is used. Not all software using log4j2 is vulnerable. For example, Java security managers may be used by software to define policies for an application that will block exploitation.

Quelle: isc.sans.edu/forums/diary/Log4j+Log4Shell+Followup+What+we+see+and+how+to+defend+and+how+to+access+our+data/28122/

Sammlung Security Advisories / Bulletins linked to Log4Shell (CVE-2021-44228)
gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592

Das SANS Internet Storm Center betriebt auch Hönigtöpfchen und sammeln Informationen. Interessierte können diese Sammlung über eine API abrufen (ggf. Wunschdatum in dem URL ändern):Our API (isc.sans.edu/api) offers two functions that make it easy to retrieve data related to the exploit. The first one retrieves data collected based on the URL. You may retrieve all data collected on a particular day that includes a specific string. For example:

isc.sans.edu/api/webhoneypotreportsbyurl/jndi:/2021-12-12?json

Wer mit offiziellen docker containern arbeitet, der hat u.U. auch handlungsbedarf, weil dort auch log4j eingesetzt sein kann!
www.docker.com/blog/apache-log4j-2-cve-2021-44228/

Hallo Hanjo,

vielen Dank! Ja, ich verfolge das seit Freitag, wo das publik gewordrn ist. Das ist mal eine krasse Lücke in einer Bibliothek, die fast jeder verwendet, der auch Java verwendet.
Das wird einmal quer durch die ganze IT gehen, bis runter zu Consumerprodukten.

Liebe Grüße,
  Klaren

Hallo Klaren,

wenn man sich die Liste ansieht gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592 , die noch wächst, wird deutlich, was in den nächsten Tagen an Patch und Härtungsarbeit ansteht ;-)

Gruß
Hanjo

P.S. Ich habe seit gestern Urlaub

Hmm, eher ein Fall von "works-as-designed'
Also Java rausschmeißen wär die Lösung - outch!
Aber lies selbst :
www.heise.de/meinung/Kommentar-zu-log4j-Es-funktioniert-wie-spezifiziert-6294476.html?wt_mc=rss.red.ho.ho.atom.beitrag.beitrag

Hilfreich bei der log4j Fahndung war/ist der log4j-detector:
github.com/mergebase/log4j-detector

www.govcert.ch/blog/zero-day-exploit-targeting-popular-java-library-log4j/#

Seit dem 20.12.2021 wird im Netz über Würmer berichtet, die die log4j Verwundbarkeiten ausnutzen.
Auch gibt es im Netz zahlreiche Quellen, die beim Aufspüren der Verwundbarkeiten helfen können:
Empfehlenswert ist aus meiner Sicht
www.lunasec.io/docs/blog/log4j-zero-day-mitigation-guide/
Alternative Adresse log4shell.com/

github.com/fullhunt/log4j-scan ist ein Verwundbarkeits-Scanner, der mit wenig Aufwand + "git clone" installierbar und nutzbar ist.
blog.login.gmbh/log4j-scanner-auf-dem-raspberry-pi-unter-dietpi-einrichten/ ist eine Anleitung,die auf der Distri dietpi.com/ basiert.

Tim und Struppi Linus haben das Thema sehr ausführlich in Folge 416 behandelt . Zusammengefasst kann man das also als "defective by design" betrachten. Oder: "It's not a bug, it's a feature." Allerdings ein fatales Feature!

Update: Ich lese gerade das log4j bei der für dieses Jahr geplanten Einführung der Elektronischen Patientenakte voll zuschlägt . Na, das kann ja ein spannendes 2022 werden. Großes Kino zu lesen, was der Arzt oder Anwender tun "soll". Auch wenn die breite Masse der Schafe genüsslich Juhu blökt . Denn sie wissen nicht, was sie tun ... Wie war das noch: neue Technik soll doch Probleme lösen statt neue zu shaffen! Warum muss ich bei so etwas immer an die Zeichnung von Uli Stein denken, wo die Ehefrau zu ihrer Freundin ungefähr das sagte: "Erwin löst mit dem Computer die Probleme, die er noch nicht hatte, als er noch keinen Computer besaß." Seit der Einführung des biometrischen Schnüffelausweises sind es immer die gleichen Rituale: die schwadronieren was von Sicherheit und tollen Features. Und am Ende geht die "Sicherheit" vor die Hunde und die "tollen Features" sind unbenutzbar. Wer berät die eigentlich? Vielleicht sollten die mal öfters den CCC befragen, statt irgendwelche Marketingfutzis ...