[NEWSboard IBMi Forum]
Seite 1 von 2 1 2 Letzte
  1. #1
    Registriert seit
    Aug 2001
    Beiträge
    2.644

    Exclamation log4j Sicherheitslücke

    aktuelle zentrale Infostelle hier

    https://www.ibm.com/blogs/psirt/
    www.RZKH.de
    IBM Champion 2022, 2023, 2024
    IBM i Community Advocate https://www.youracclaim.com/badges/6...c-7ad4ba147af6
    Common / CEAC
    http://pub400.com

  2. #2
    Registriert seit
    Aug 2001
    Beiträge
    2.644
    Zitat Zitat von holgerscherer Beitrag anzeigen
    aktuelle zentrale Infostelle hier

    https://www.ibm.com/blogs/psirt/
    schnelle Quick-and-dirty Abhilfe, um das Auswerten von Ausdrücken zu unterbinden:
    UPDATE: das war zu quick - Befehl angepasst. Bitte mit WRKLNK kontrollieren.

    Code:
    QSH CMD('echo "log4j2.formatMsgNoLookups=true" >> /QIBM/UserData/Java400/SystemDefault.properties')
    www.RZKH.de
    IBM Champion 2022, 2023, 2024
    IBM i Community Advocate https://www.youracclaim.com/badges/6...c-7ad4ba147af6
    Common / CEAC
    http://pub400.com

  3. #3
    Registriert seit
    Jan 2003
    Beiträge
    746
    Jesse Gorzinski (Entwickler ACS) empfiehlt als vorbeugende Maßnahme:

    ADDENVVAR ENVVAR(LOG4J_FORMAT_MSG_NO_LOOKUPS) VALUE('true') REPLACE(*YES) LEVEL(*SYS)

    Frage an die Kollegen mit 'nem schwarzen Gürtel in Java: gibt es für frühere Versionen (V6, V5) weitere/andere Umgebungsvariablen die man berücksichtigen sollte?

  4. #4
    Registriert seit
    Mar 2002
    Beiträge
    5.286
    ... die OS400 und Java Versionen spielen hier keine Rolle. Es geht bei der Sicherheitslücke darum, dass Strings, die über log4j protokolliert werden, vor der Ausgabe interpretiert werden, was man mit obiger Einstellung abstellen kann. System, auf denen keine log4j Logdateien erstellt werden (das dürfte für die meisten AS/400 Installationen zutreffen) sind ohnehin nicht betroffen.

    D*B
    AS400 Freeware
    http://www.bender-dv.de
    Mit embedded SQL in RPG auf Datenbanken von ADABAS bis XBASE zugreifen
    http://sourceforge.net/projects/appserver4rpg/

  5. #5
    Registriert seit
    Nov 2001
    Beiträge
    93
    Wenn log4j-Logdateien gespeichert werden, in welchem Pfad sollten sich diese Dateien befinden?

    LG Michi

  6. #6
    Registriert seit
    Nov 2020
    Beiträge
    315
    Das wird in einem Property (log4j.properties) oder XML File (log4j.xml) hinterlegt.
    Diese ist normalerweise in einem etc oder cfg Ordner der jeweiligen Java Applikation.

  7. #7
    Registriert seit
    Mar 2002
    Beiträge
    5.286
    ... am sinnigsten fängt man damit an nach log4j*.jar zu suchen. Wenn da nix ist => Entwarnung.
    Die Protokolle sind schon schlechter zu finden, da die Namen konfiguriert werden und es könnte auch auf Konsole ausgegeben werden, was aber unüblich ist. Das weitere findet man eigentlich nur in den Java Applikationen, da muss man untersuchen, was die da so ausgeben könnten.
    Am Beispiel von ArdGate:
    - ArdGate protokolliert die SQL Statements, die prepared werden.
    - wenn man da von außen beliebiges reingeben kann, dann könnte das für Angriffe genutzt werden. Das wäre auch ohne den Bug schon ein Risiko, drop table ist auch so meist nicht erwünscht. Wenn man für den Vergleich in einer where Klausel was frei eingeben darf, dann ist das für manche Datenbanksysteme schon wieder eine Möglichkeit einen drop table rein zu tricksen - könnte aber auch für einen log4shell Angriff genutzt werden. Hat man hier sauber programmiert, stellt ArdGate kein Risiko dar.

    Das tückische ist, dass das schließen der Lücke durch einen patch (ADDENVVAR oder SystemDefault.properties oder update von log4jxxx.jar) das Problem nicht sicher heilt, weil jemand in der Vergangenheit sich unbemerkt eine Hintertür installiert haben könnte, die zu beliebigem Zeitpunkt für Schadangriffe genutzt werden könnte.

    D*B
    AS400 Freeware
    http://www.bender-dv.de
    Mit embedded SQL in RPG auf Datenbanken von ADABAS bis XBASE zugreifen
    http://sourceforge.net/projects/appserver4rpg/

  8. #8
    Registriert seit
    Feb 2001
    Beiträge
    20.207
    Allerdings lassen sich Jar's wiederum in eine eigene Jar einbetten.
    Bei Eclipse gibts eine Einstellung "Package required libraries into the generated JAR".
    Dienstleistungen? Die gibt es hier: http://www.fuerchau.de
    Das Excel-AddIn: https://www.ftsolutions.de/index.php/downloads
    BI? Da war doch noch was: http://www.ftsolutions.de

  9. #9
    Registriert seit
    Aug 2001
    Beiträge
    2.644
    kleines Update - wer es im Einsatz hat, sollte 2.16.0 verwenden, besonders, wenn viele Zugriffe von $(aussen) erwartbar sind.

    Nach meinen Logfiles ist Russland grade führend

    https://cve.mitre.org/cgi-bin/cvenam...CVE-2021-45046
    www.RZKH.de
    IBM Champion 2022, 2023, 2024
    IBM i Community Advocate https://www.youracclaim.com/badges/6...c-7ad4ba147af6
    Common / CEAC
    http://pub400.com

  10. #10
    Registriert seit
    Mar 2002
    Beiträge
    5.286
    Zitat Zitat von Fuerchau Beitrag anzeigen
    Allerdings lassen sich Jar's wiederum in eine eigene Jar einbetten.
    Bei Eclipse gibts eine Einstellung "Package required libraries into the generated JAR".
    ... das wird (fast) ausschließlich im Deployment eingesetzt und bei der automatischen Installation wieder aufgelöst. Bei korrekter Vorgehensweise sollen libraries, wie log4j für separate updates verfügbar sein.

    D*B
    AS400 Freeware
    http://www.bender-dv.de
    Mit embedded SQL in RPG auf Datenbanken von ADABAS bis XBASE zugreifen
    http://sourceforge.net/projects/appserver4rpg/

  11. #11
    Registriert seit
    Mar 2002
    Beiträge
    5.286
    ... wenn ich der midrange-l folge, dann soll es sogar Software Anbieter geben, die komplett neu packen damit externe libraries so aussehen, wie eigene. Da ist natürlich Hopfen und Malz verloren - da hilft nur Nachfrage beim Anbieter und ich empfehle deutlich solche Software abzulösen. Also in jedem Fall zusätzlich beim Anbieter nachhaken, wenn man externe Java Software auf der /400 einsetzt.

    D*B
    AS400 Freeware
    http://www.bender-dv.de
    Mit embedded SQL in RPG auf Datenbanken von ADABAS bis XBASE zugreifen
    http://sourceforge.net/projects/appserver4rpg/

  12. #12
    Registriert seit
    Aug 2001
    Beiträge
    2.644
    Zitat Zitat von holgerscherer Beitrag anzeigen
    aktuelle zentrale Infostelle hier

    https://www.ibm.com/blogs/psirt/
    Hier noch der direkte Link, der ständig aktualisiert wird:

    https://www.ibm.com/blogs/psirt/an-u...vulnerability/
    www.RZKH.de
    IBM Champion 2022, 2023, 2024
    IBM i Community Advocate https://www.youracclaim.com/badges/6...c-7ad4ba147af6
    Common / CEAC
    http://pub400.com

Similar Threads

  1. Sicherheitslücke *ALLOBJ
    By Fuerchau in forum IBM i Hauptforum
    Antworten: 8
    Letzter Beitrag: 07-04-03, 15:05
  2. Sicherheitslücke?
    By Olli in forum IBM i Hauptforum
    Antworten: 4
    Letzter Beitrag: 28-05-01, 10:20

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • You may not post attachments
  • You may not edit your posts
  •