Frage zu Log4J Problem
 

Servus,

wenn ich ein Jar habe, das "nur" auf meinem Rechner liegt, das jar aber nicht aktiv ausgeführt wird. Dort ist aber definitiv eine alte Log4J drin, dann kann doch diese Lücke nur dann ausgenutzt werden, wenn ich auf meinem Rechner ein Programm ausführe, das dann nach angreifbaren jar sucht. Wobei dann müsste das Programm ja noch die Jar ausführen?!?

Oder kann das Programm dann "lediglich" das kaputte Log4J aus dem Jar aktivieren und ausnutzen?

Grüße

P.s: mir ist klar, dass ich schon dann ein Problem habe, wenn ich ein unerwünschtes Programm auf meiner Kiste ausführe....

AW: Frage zu Log4J Problem
 

Das ist egal.

Wenn das "böse" Programm bereits auf deinem Rechner läuft und Rechte hat diese Datei im Java auszuführen, dann braucht es diese Sicherheitslücke nicht mehr, weil es dann auch gleich direkt auf alles Zugriff haben würde,
bzw. es könnte auch seinen eigenen Code für Log4J mitbringen und braucht deine Datei garnicht.

AW: Frage zu Log4J Problem
 

Der passende Vergleich wäre ein Virus (in der Biologie): solange ein Virus nur so herumliegt, ist es ungefährlich. Erst wenn es in einer Umgebung ist in der sein DNA oder RNA Code 'ausgeführt' wird, kann es sich in seinem Wirt vermehren. (Also ja.)

AW: Frage zu Log4J Problem
 

Dazu kommt, das das Problem ja nur auftritt, wenn bestimmte Texte in den Platzhaltern der Lognachrichten mittels log4j gelogged werden.
Konkret: Loggt das Java-Programm nur statische Texte mit z.B. Datum und Zahlen, hast Du kein Problem. Nur wenn das Ding externe Eingaben loggt, und jemand so einen {jndi:ldap://url} - Text ins das Log reinbringt, DANN wird der Code hinter der Adresse nachgeladen und ausgeführt.

AW: Frage zu Log4J Problem
 

Danke für die Antworten.
Das Problem ist: Das teil ist nicht von mir, keinen Plan was das Ding so treibt und was wohin geschrieben wird.
Allerdings haben "wir" das halt an unsere Kunden ausgeliefert (ausliefern müssen) und jetzt stelle ich mir die Frage ob es nicht schlauer wäre, das Zeugs von den Kundenrechnern zu putzen, wenn wir die aktuelle Version ausliefern....

AW: Frage zu Log4J Problem
 

Definitiv, und mit einem Flammenwerfer hinterher alles reinigen.

...:cat:...

AW: Frage zu Log4J Problem
 

Hallo,
von der KBV gibt es mittlerweile neue Versionen vom Prüfmodul und Kryptomodul.
Falls es darum geht ...

AW: Frage zu Log4J Problem
 

Gute Frage: Wie findet und bereinigt man das Log4J Problem am Besten und Einfachsten ?
Durch einfache Filesuche, oder gibt es von MS oder anderso schon Scanner ?
Wie findet und beseitigt das auf Apache-Servern und/oder NAS-Systemen ?

AW: Frage zu Log4J Problem
 

Wenn man von einem erfolgreichen Angriff ausgeht, wäre der Rechner neu aufzusetzen.
Also das "putzen" als ersten Schritt unnötig.

AW: Frage zu Log4J Problem
 

ähm.. Ja.. aber halt "nur" für Q1-2022 und glaube Q4-2021. Aber der Rest halt nicht :-) Und die KBV empfiehlt inzwischen selbst die Entfernung bzw. die Ausführung in einer sicheren Umgebung...

https://update.kbv.de/ita-update/Ank..._Log4j_FAQ.pdf