- Offizieller Beitrag
der CVE beschreibt ja eine der kritischsten Sicherheitslücken der letzten Wochen. Dabei geht es um eine Loch in der Protokollierungssoftware log4j. Das ist insofern brisant, da diese von VIELEN Javaprogrammierern verwendet wird. Das ist auch gut so, würde man versuchen das Rad neu zu erfinden gäbe es sicherlich deutlich mehr Sicherheitslecks.
Das Loch als solches erlaubt es dem Angreifer beliebigen Code auf dem Server auszuführen. Das gescheiht indem man log4j sagt bitte laden den Code von xyz (das kann dann jeder erreichbare Rechner sein) und mach mal....
Nur zur Info meine Server habe ich natürlich gleich gescannt, wobei ich recht sicher war dass ich zumindest privat (auf meinen Rechnern) nicht betroffen bin.
Dazu mehrere Tools verwendet:
Fenrir (linux)
git clone https://github.com/Neo23x0/Fenrir.git und dann das .sh starten ala "./fenrir.sh /"
also Angriffsversuche habe ich genügend in den apache logs gefunden.
Fenrir braucht recht lange um alles zu scannen da es auch archive entpackt etc. also im Hintergrund laufen lassen und parallel mit anderen tools weitermachen.
Logpresso (Java also Multiplatform)
Von https://github.com/logpresso/CVE-2021-44228-Scanner die letzte Jar Version (aktuell 2.3.3) herunterladen
Z.B mit wget https://github.com/logpresso/CVE-…-scan-2.3.3.jar
und mit java -jar logpresso-log4j2-scan-<VERSION>.jar <laufwerk> scannen.
Log4JScan
Von https://github.com/fullhunt/log4j-scan herunterladen ala git clone https://github.com/fullhunt/log4j-scan.git.
Dann log4j-scan.py -u <dein zu testender server> aufrufen
evtl. muss man vorher noch die requirements installieren