log4j Sicherheitslücke

[BenderD]

... am sinnigsten fängt man damit an nach log4j*.jar zu suchen. Wenn da nix ist => Entwarnung.
Die Protokolle sind schon schlechter zu finden, da die Namen konfiguriert werden und es könnte auch auf Konsole ausgegeben werden, was aber unüblich ist. Das weitere findet man eigentlich nur in den Java Applikationen, da muss man untersuchen, was die da so ausgeben könnten.
Am Beispiel von ArdGate:
- ArdGate protokolliert die SQL Statements, die prepared werden.
- wenn man da von außen beliebiges reingeben kann, dann könnte das für Angriffe genutzt werden. Das wäre auch ohne den Bug schon ein Risiko, drop table ist auch so meist nicht erwünscht. Wenn man für den Vergleich in einer where Klausel was frei eingeben darf, dann ist das für manche Datenbanksysteme schon wieder eine Möglichkeit einen drop table rein zu tricksen - könnte aber auch für einen log4shell Angriff genutzt werden. Hat man hier sauber programmiert, stellt ArdGate kein Risiko dar.

Das tückische ist, dass das schließen der Lücke durch einen patch (ADDENVVAR oder SystemDefault.properties oder update von log4jxxx.jar) das Problem nicht sicher heilt, weil jemand in der Vergangenheit sich unbemerkt eine Hintertür installiert haben könnte, die zu beliebigem Zeitpunkt für Schadangriffe genutzt werden könnte.

D*B

[Fuerchau]

Allerdings lassen sich Jar's wiederum in eine eigene Jar einbetten.
Bei Eclipse gibts eine Einstellung "Package required libraries into the generated JAR".

[holgerscherer]

kleines Update - wer es im Einsatz hat, sollte 2.16.0 verwenden, besonders, wenn viele Zugriffe von $(aussen) erwartbar sind.

Nach meinen Logfiles ist Russland grade führend

https://cve.mitre.org/cgi-bin/cvenam...CVE-2021-45046

[BenderD]

Allerdings lassen sich Jar's wiederum in eine eigene Jar einbetten.
Bei Eclipse gibts eine Einstellung "Package required libraries into the generated JAR".

... das wird (fast) ausschließlich im Deployment eingesetzt und bei der automatischen Installation wieder aufgelöst. Bei korrekter Vorgehensweise sollen libraries, wie log4j für separate updates verfügbar sein.

D*B

[BenderD]

... wenn ich der midrange-l folge, dann soll es sogar Software Anbieter geben, die komplett neu packen damit externe libraries so aussehen, wie eigene. Da ist natürlich Hopfen und Malz verloren - da hilft nur Nachfrage beim Anbieter und ich empfehle deutlich solche Software abzulösen. Also in jedem Fall zusätzlich beim Anbieter nachhaken, wenn man externe Java Software auf der /400 einsetzt.

D*B