Hat jemand Updates wegen Log4J gemacht? Wenn ja, welche? Ich habe bisher bewusst noch kein Update deswegen gemacht. 1x Windows 11 auf einem Notebook und 1x Debian Linux auf einem Notebook habe ich als Systeme.
Ich habe die letzten zwei Wochen in der Firma fast nichts anderes gemacht um verwundbare Log4J Versionen aus dem RZ zu werfen. Da ich dort hauptsächlich mit Spezialsoftware zutun habe und die Hersteller uns deutlich im Stich lassen (Updates für Ende Januar angekündigt) habe ich wars, jars und ears aus- und eingepackt um die anfällige Klasse zu entfernen. Hilfreich war dabei https://github.com/mergebase/log4j-detector
Hatte nur eine im Arduino-Verzeichnis. Hab Update-Installiert und das war es.
Schlaumaier schrieb: > Hatte nur eine im Arduino-Verzeichnis. Hab Update-Installiert und das > war es. Du bist ja ein ganz pfiffigers Kerlchen! Wo bekommt man denn eine aktualisierte IDE_1.8.15 her?
Wie stehts mit der Verwundbarkeit von jsdelivr.net?
Ich hatte den ein oder anderen betroffenen Debian Server. Zum Glück nicht aus dem Internet erreichbar. Da die Software gut paketiert war, kamen die Updates im normalen Patchzyklus automatisch mit. Es gab aber auch Software aus externen Paketquellen, die das Update nicht als kritisch markiert hat. Entsprechend liefen die Informationen nicht direkt im Monitoring auf und die Automatismen griffen nicht.
Helge schrieb: > Wie stehts mit der Verwundbarkeit von jsdelivr.net? Du meinst .com? Java != JavaScript
Hans schrieb: > Du meinst .com? Java != JavaScript log4j ist auch bei jsdelivr.net, das auf dieser Seite verwendet wird.
Helge schrieb: > Hans schrieb: > >> Du meinst .com? Java != JavaScript > > log4j ist auch bei jsdelivr.net, das auf dieser Seite verwendet wird. Dann sprechen wir wohl über eine andere Seite. jsdelivr.net gibt es in meinem Internet nicht. Was möchtest du eigentlich mit deinem Kommentar genau sagen? Wird log4j dort gehostet oder verwendet?
Manfred schrieb: > Wo bekommt man denn eine aktualisierte IDE_1.8.15 her? Keine Ahnung. Ich habe damals die Nightly-Version installiert. Aber du kannst ja man Trick 17 Versuchen ;) Die log4j in der neusten Version herunterladen, und dann einfach umbenennen in die alte Version und in das Verzeichnis kopieren. Da das Teil ja nur eine Lib ist, sollte das funktionieren. Immerhin haben sich ja die Aufrufe nicht geändert. Hab ich aber wie gesagt nicht getestet. Da ich so Miese Tricks nur benutze, wenn es nicht anders geht. Und in den Fall geht es anders. Habe gerade mal die "arduino-1.8.19-windows.zip" durchsucht. Und da ist die LOG4J nicht einmal mehr drin. Beste Lösung überhaupt einfach den pösen Buben killen ;)
Ich habe log4j nirgendwo im Einsatz bzw. wenn es im Einsatz ist, dann außerhalb meiner Zuständigkeit -> nicht mein Problem.
MediathekView hat neulich ein Update gemacht, bei dem auf Log4J verwiesen wurde.
JJ schrieb: > Ich habe die letzten zwei Wochen in der Firma fast nichts anderes > gemacht um verwundbare Log4J Versionen aus dem RZ zu werfen. So sah es auch bei mir aus. Da die meisten Programme ihre eigene Laufzeitumgebung mitbringen, reicht kein einfacher Updateprozess aus. Hier muss immer per Hand nachgearbeitet werden, falls der Hersteller nicht schnell für einen Update gesorgt hat. Glücklicherweise waren es vor allem Version 1, die ich gefunden habe. Keine der betroffenen Systeme waren direkt aus dem Internet erreichbar.
Rolf R. schrieb: > Hat jemand Updates wegen Log4J gemacht? Wenn ja, welche? Ich habe auf meinem Rechner mal nach vulnerablen Log4Js gesucht und dabei tatsächlich zwei gefunden: Das eine steckt in Arara, einem Bestandteil des TeXLive-Pakets. Leider ist das im Arch-Paket noch nicht behoben worden. Allerdings stellt dies höchstens dann ein Problem dar, wenn man Arara auf fremde TeX-Dateien anwendet, was man ohne vorherige Prüfung derselben sowieso unterlassen sollte. Außerdem kenne ich Arara bisher erst seit heute und werde es wohl auch zukünftig nicht benutzen. Das andere steckt in einer Arduino-Leiche, die hier noch herumlag. Ich hatte vor einiger Zeit Arduino für den Teensy 4.0 heruntergeladen, um die Quelldateien (insbesondere den Startup-Code und die USB-Sachen) im cores-Verzeichnis anzuschauen und ggf. in eigenen Projekte zu verwenden. Da ich mit der Arduino-IDE sowieso nichts anfangen kann, habe ich die cores-Dateien aufgehoben und den Rest auf Version -1 upgedatet, in der alle bekannten und unbekannten Sicherheitslöcher bereits gestopft sind¹. Falls ich Updates von den cores-Dateien brauche, kann ich diese ja auch direkt von Github herunterladen, ohne den ganzen Ballast drumherum. > Ich habe bisher bewusst noch kein Update deswegen gemacht. Warum denn das? Legst du im Auto bewusst auch keinen Sicherheitsgurt an, um zu sehen, ob man auch ohne überleben kann? ───────────── ¹) Ich glaube, damit bin ich sogar noch einen Tick schlauer als der Maier von weiter oben ;-)
Yalu X. schrieb: > Rolf R. schrieb: >> Ich habe bisher bewusst noch kein Update deswegen gemacht. > > Warum denn das? Legst du im Auto bewusst auch keinen Sicherheitsgurt an, > um zu sehen, ob man auch ohne überleben kann? Ich habe mich unklar ausgedrückt: Mit bewusst meine ich, dass ich zwar Updates mache, die mir angeboten werden, ich aber bisher keine explizites Update gemacht habe, um diese Lücke zu schliessen. Es kann also sein, dass ich durch meine Updates die Lücke irgenwo geschlossen habe, ohne mir dessen bewusst zu sein. Ich weiss bei mir von keiner Software, die die Lücke enthält. Ich mache regelmässig die Windows 11 und Debian Updates. Firefox unter Windows macht seine Updates bei mir eigenständig.
Rolf R. schrieb: > Ich weiss bei mir von keiner Software, die die Lücke enthält. Such einfach die ganze Platte nach der Datei ab. Habe ich auch gemacht. In EINIGEN Arduino-Versionen war die drin. Ich persönlich halte das Risiko auf einen Heim-PC allerdings für Gering. Es ja so eine Java-Sache. Und JAVA gehört nicht direkt zu einen Windows-System. Und ein Home-PC ist kein Server. Da sind Angriffe dieser Art doch relativ selten. Immerhin muss der Pöse Bube bei mir durch 3 Firewalls. Das ist harte Arbeit ;)
Schlaumaier schrieb: > Immerhin muss der Pöse Bube bei mir durch 3 Firewalls. Das ist harte > Arbeit ;) Ich hoffe doch, die blockieren auch ausgehenden Traffic so konsequent wie eingehenden? So dass dein gesamtes Inventar allenfalls noch auf mikrocontroller.net zugreifen kann, statt aufs gesamte Internet. Das ist nämlich die beste Absicherung gegen Ausnutzung des JNDI Problems, und diverser anderer gleich mit.
:
Bearbeitet durch User
Schlaumaier schrieb: > Rolf R. schrieb: >> Ich weiss bei mir von keiner Software, die die Lücke enthält. > > Such einfach die ganze Platte nach der Datei ab. Habe ich auch gemacht. Das habe ich gemacht. Es wurde nichts gefunden. Super.
Rolf R. schrieb: > Das habe ich gemacht. Es wurde nichts gefunden. Super. fein wenn du nach log4j* gesucht hast. ;) Die hat nämlich Zusatznamen mit der Versions-Nr. Bei mir war die wie erwähnt nur in einer (von 4) Versionen von Arduino.
Schlaumaier schrieb: > Such einfach die ganze Platte nach der Datei ab. Die ganz Schlauen suchen auch in jar-Files, die noch Schlaueren lassen suchen :) > Und ein Home-PC ist kein Server. Das ist keine Garantie gegen Malware. Diese kann auch unbeabsichtigt durch den Benutzer an Bord geholt werden, so wie weiland in Form eines Pferdes. Wenn die bösen Buben die prestigeträchtigen Server von Google, Amazon, den Regierungen, Verteidigungsministerien usw. abgegrast haben, werden sie irgendwann auch bei dir und mir aufkreuzen, vielleicht nicht direkt, aber bspw. über vielfrequentierte Webseiten oder Fileserver.
Ich fand hier einen interessanten Hinweis um die log4j bei Arduino IDEs auszuwechseln: https://forum.arduino.cc/t/log4j-vulnerability-arduino-1-8-16/935483 Dort ersetzte jemand erfolgreich die alte log4j mit der neuesten gepatchten Version. Ich habe das Problem, daß Arduino GCC ab Version 1.8.10, die Fleury I2C ASM Bib. gebrochen hat und alte Programme nur damit noch erfolgreich kompiliert werden können bis ich die ASM selber repariere. Deshalb möchte ich momentan V1819 nicht verlieren müssen. Leider kann ich mangels Erfahrung die ASM Fehlermeldungen noch nicht beheben um mit der aktuellen GCC eingebunden werden zu können. Es wäre nett wenn sich Peter diesem Problem annehmen könnte da ich im Augenblick nicht das Wissen habe die Fehlermeldungen anzugehen. Die GCC Version ist ab V1810 neuer. Da wäre dieser Patch bzw. Methode nützlich um diese leidigen betroffenen log4j von alten IDEs zu zerren und mit einer sicheren Version zu ersetzen. Was meint ihr zu dieser beschriebenen Methode? Ist es möglich mittels File Explorer Search log4j in anderen Programmen zu finden?
Gerhard O. schrieb: > Dort ersetzte jemand erfolgreich die alte log4j mit der neuesten > gepatchten Version. Schlaumaier schrieb: > Aber du kannst ja man Trick 17 Versuchen ;) > > Die log4j in der neusten Version herunterladen, und dann einfach > umbenennen in die alte Version und in das Verzeichnis kopieren. Ich bin also nicht der einzige der Miese Tricks benutzt. ;))
Yalu X. schrieb: > Die ganz Schlauen suchen auch in jar-Files, die noch Schlaueren lassen > suchen :) Und das nicht nur in jar, sondern auch in zip-Files. Letzendlich wars bei mit auch nur eine Arduino-Leiche, und da half schnell das hier schon mehrfach genannte Upgrade auf Version -1. Oliver
Bei mir war der Unifi-Controller und der Blynk-Server betroffen.
Ich weiß nicht in welcher Weise wir uns um diesen potentiellen "übeltaeter" kümmern müssen: https://logging.apache.org/log4j/2.x/security.html Ich machte eine log4j Scan und fand u.a.: SAP CrystalreportViewer der scheinbar ein Teil von .NET in Windows ist. (Keine Ahnung warum das und von wem installiert worden ist. Es scheint möglicherweise ein Teil von W10 zu sein, da .NET davon referenziert wird) SAP businessobjects - Ich kann nicht viel Konkretes finden - Warum ist es hier? C:\Program Files (x86)\SAP BusinessObjects\Crystal Reports for .NET Framework 4.0\Common\SAP BusinessObjects Enterprise XI 4.0 Wenn hier jemand etwas mehr weiß, wäre ich dankbar mehr zu wissen. Ich konnte noch nicht herausfinden warum es installiert ist und ob man es ohne Nackenschläge entfernen könnte bzw. sollte. Die CubeIDE hat log4j (CubeIDE sollte sich natürlich updaten lassen) CoIDE V1.7.5 hat sie auch Was CoIDe betrifft möchte ich es nicht vorschnell entfernen weil alte STM32 Projekte möglicherweise damit bearbeitet werden müßten. CoIde 1.7.5. hat für mich immer gut funktioniert. In Arduino, nur V1.8.12, 13, 15 hatten log4j. V1.8.9 hatte interessanterweise keine LOG4J drinnen. Ich habe die entsprechenden core log4j mit der neuesten Version (V1.8.18) ausgewechselt und alles funktioniert (noch). Diese Version verwendet 2.16.0 LOG4J. Alle früheren Arduino IDEs haben anscheinend keine LOG4J . Sonst fand ich nichts auf dem PC.
:
Bearbeitet durch User
Nachtrag: Wie im vorherigen Beitrag bemerkt fand ich in meinem PC den Gebrauch von log4j in .NET. Da es mich interessierte wie sich MS zu diesen Sachverhalt stellt fand ich bis jetzt diese MS Seite: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-44228 Ich hoffe MS ersetzt diese Schwachstelle bald. Inwieweit ich da selber einen Patch ausführen kann muß ich erst recherchieren.
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.