-
log4j Sicherheitslücke
aktuelle zentrale Infostelle hier
https://www.ibm.com/blogs/psirt/
-
Zitat von holgerscherer
schnelle Quick-and-dirty Abhilfe, um das Auswerten von Ausdrücken zu unterbinden:
UPDATE: das war zu quick - Befehl angepasst. Bitte mit WRKLNK kontrollieren.
Code:
QSH CMD('echo "log4j2.formatMsgNoLookups=true" >> /QIBM/UserData/Java400/SystemDefault.properties')
-
Jesse Gorzinski (Entwickler ACS) empfiehlt als vorbeugende Maßnahme:
ADDENVVAR ENVVAR(LOG4J_FORMAT_MSG_NO_LOOKUPS) VALUE('true') REPLACE(*YES) LEVEL(*SYS)
Frage an die Kollegen mit 'nem schwarzen Gürtel in Java: gibt es für frühere Versionen (V6, V5) weitere/andere Umgebungsvariablen die man berücksichtigen sollte?
-
... die OS400 und Java Versionen spielen hier keine Rolle. Es geht bei der Sicherheitslücke darum, dass Strings, die über log4j protokolliert werden, vor der Ausgabe interpretiert werden, was man mit obiger Einstellung abstellen kann. System, auf denen keine log4j Logdateien erstellt werden (das dürfte für die meisten AS/400 Installationen zutreffen) sind ohnehin nicht betroffen.
D*B
-
Wenn log4j-Logdateien gespeichert werden, in welchem Pfad sollten sich diese Dateien befinden?
LG Michi
-
Das wird in einem Property (log4j.properties) oder XML File (log4j.xml) hinterlegt.
Diese ist normalerweise in einem etc oder cfg Ordner der jeweiligen Java Applikation.
-
... am sinnigsten fängt man damit an nach log4j*.jar zu suchen. Wenn da nix ist => Entwarnung.
Die Protokolle sind schon schlechter zu finden, da die Namen konfiguriert werden und es könnte auch auf Konsole ausgegeben werden, was aber unüblich ist. Das weitere findet man eigentlich nur in den Java Applikationen, da muss man untersuchen, was die da so ausgeben könnten.
Am Beispiel von ArdGate:
- ArdGate protokolliert die SQL Statements, die prepared werden.
- wenn man da von außen beliebiges reingeben kann, dann könnte das für Angriffe genutzt werden. Das wäre auch ohne den Bug schon ein Risiko, drop table ist auch so meist nicht erwünscht. Wenn man für den Vergleich in einer where Klausel was frei eingeben darf, dann ist das für manche Datenbanksysteme schon wieder eine Möglichkeit einen drop table rein zu tricksen - könnte aber auch für einen log4shell Angriff genutzt werden. Hat man hier sauber programmiert, stellt ArdGate kein Risiko dar.
Das tückische ist, dass das schließen der Lücke durch einen patch (ADDENVVAR oder SystemDefault.properties oder update von log4jxxx.jar) das Problem nicht sicher heilt, weil jemand in der Vergangenheit sich unbemerkt eine Hintertür installiert haben könnte, die zu beliebigem Zeitpunkt für Schadangriffe genutzt werden könnte.
D*B
-
Allerdings lassen sich Jar's wiederum in eine eigene Jar einbetten.
Bei Eclipse gibts eine Einstellung "Package required libraries into the generated JAR".
-
kleines Update - wer es im Einsatz hat, sollte 2.16.0 verwenden, besonders, wenn viele Zugriffe von $(aussen) erwartbar sind.
Nach meinen Logfiles ist Russland grade führend
https://cve.mitre.org/cgi-bin/cvenam...CVE-2021-45046
-
Zitat von Fuerchau
Allerdings lassen sich Jar's wiederum in eine eigene Jar einbetten.
Bei Eclipse gibts eine Einstellung "Package required libraries into the generated JAR".
... das wird (fast) ausschließlich im Deployment eingesetzt und bei der automatischen Installation wieder aufgelöst. Bei korrekter Vorgehensweise sollen libraries, wie log4j für separate updates verfügbar sein.
D*B
-
... wenn ich der midrange-l folge, dann soll es sogar Software Anbieter geben, die komplett neu packen damit externe libraries so aussehen, wie eigene. Da ist natürlich Hopfen und Malz verloren - da hilft nur Nachfrage beim Anbieter und ich empfehle deutlich solche Software abzulösen. Also in jedem Fall zusätzlich beim Anbieter nachhaken, wenn man externe Java Software auf der /400 einsetzt.
D*B
-
Zitat von holgerscherer
Hier noch der direkte Link, der ständig aktualisiert wird:
https://www.ibm.com/blogs/psirt/an-u...vulnerability/
Similar Threads
-
By Fuerchau in forum IBM i Hauptforum
Antworten: 8
Letzter Beitrag: 07-04-03, 14:05
-
By Olli in forum IBM i Hauptforum
Antworten: 4
Letzter Beitrag: 28-05-01, 09:20
Berechtigungen
- Neue Themen erstellen: Nein
- Themen beantworten: Nein
- You may not post attachments
- You may not edit your posts
-
Foren-Regeln
|
Erweiterte Foren Suche
Google Foren Suche
Forum & Artikel Update eMail
AS/400 / IBM i
Server Expert Gruppen
Unternehmens IT
|
Kategorien online Artikel
- Big Data, Analytics, BI, MIS
- Cloud, Social Media, Devices
- DMS, Archivierung, Druck
- ERP + Add-ons, Business Software
- Hochverfügbarkeit
- Human Resources, Personal
- IBM Announcements
- IT-Karikaturen
- Leitartikel
- Load`n`go
- Messen, Veranstaltungen
- NEWSolutions Dossiers
- Programmierung
- Security
- Software Development + Change Mgmt.
- Solutions & Provider
- Speicher – Storage
- Strategische Berichte
- Systemmanagement
- Tools, Hot-Tips
Auf dem Laufenden bleiben
|
Bookmarks