remote code execution vulnerabiliy in log4j

[Chris Mair]

Ciao,

occhio: e` stata fixata una remote code execution vulnerabiliy in log4j:

https://www.lunasec.io/docs/blog/log4j-zero-day/

Bye,
Chris.

[Andrea Selva]

Il regalo del venerdì! :-)

O si aggiorna a log4j2 2.15 o system property log4j2.formatMsgNoLookups=false stando al CVE https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44228

--
You received this message because you are subscribed to the Google Groups "JUG Trentino Alto Adige Suedtirol" group.
To unsubscribe from this group and stop receiving emails from it, send an email to jugtaa+un...@googlegroups.com.
To view this discussion on the web visit https://groups.google.com/d/msgid/jugtaa/20211210165720.6337C80E2CD%40smtp.hushmail.com.

[Nicola Pedot]

Caspita! Grazie delle segnalazioni!

NiPe

To view this discussion on the web visit https://groups.google.com/d/msgid/jugtaa/CAJz9t%3D7gQRqR3KYpAhNFtrUSeT_tXupFDHFvmUnwuOOa6fV4Dg%40mail.gmail.com.

[Nicola Pedot]

Pure una seconda falla per eseguire un attacco Denial of Service (DoS).

https://www.punto-informatico.it/log4j-ce-una-seconda-falla-ma-ce-pure-la-patch/

dicono

risolta con la versione 2.16.0

oppure

La soluzione più immediata, nel caso non sia possibile installare aggiornamenti o patch per eventuali problemi di continuità di servizio o retrocompatibilità, è quella di disabilitare la funzionalità JNDI.

NiPe

[Mario Alexandro Santini]

On Thu, Dec 16, 2021 at 9:01 AM Nicola Pedot <nicola...@gmail.com> wrote:

Pure una seconda falla per eseguire un attacco Denial of Service (DoS).

https://www.punto-informatico.it/log4j-ce-una-seconda-falla-ma-ce-pure-la-patch/

dicono

risolta con la versione 2.16.0

oppure

La soluzione più immediata, nel caso non sia possibile installare aggiornamenti o patch per eventuali problemi di continuità di servizio o retrocompatibilità, è quella di disabilitare la funzionalità JNDI.

Buongiorno,

brutta notizia e brutto periodo per log4j.

Proprio ieri questo thread mi è stato utile!

:)

Quindi mi accodo ai ringraziamenti a Chris, per la prima segnalazione, ad Andrea per il suggerimento della patch "al volo" e a Nicola per la segnalazione di questa nuova vulnerabilità (stamane non ho letto PI :( ).

L'anno scorso siamo passati da Red Hat ad Ubuntu come sistema in produzione.

Ho scoperto che Ubuntu installa un pacchetto liblog4j2, ma non ho capito per quale motivo (negli aggiornamenti di sicurezza ieri c'era la patch alla versione 2.15 per tutte le distribuzioni supportate dalla 18 alla 21).

Noi non abbiamo Java sulle macchine di produzione: non lo utilizziamo e non usiamo nemmeno servizi che utilizzano Java.

Quindi non so per quale motivo ci sia quel pacchetto installato, fra l'altro nessuno ricordava di averlo installato, quindi ho il sospetto che sia li per via della distribuzione.

Me lo ritrovo anche sulla Ubuntu a casa.

Per caso qualcuno sa a che cosa serva?

 

NiPe

Mario

[Chris Mair]

> Ho scoperto che Ubuntu installa un pacchetto liblog4j2, ma non ho

> capito per quale motivo.

Ciao,

dovrebbe chiamarsi liblog4j2-java.

Su una 18.04 random qui vedo:

# apt-rdepends -r -f Depends,PreDepends liblog4j2-java

Reading package lists... Done
Building dependency tree
Reading state information... Done
liblog4j2-java
Reverse Depends: jabref (<< 3.8.2+ds-3)
Reverse Depends: libbiojava4.0-java (4.2.11+dfsg-1)
jabref
libbiojava4.0-java
Reverse Depends: libbiojava4-java (4.2.11+dfsg-1)
libbiojava4-java

Quindi non sembra esserci molto, ma con:

# apt-rdepends -r -f Depends,PreDepends,Suggests,Recommends liblog4j2-java

mi esce essenzialmente l'intera Ubuntu :)
Potrebbe essere entrato via un suggested o recommended?

O forse c'e` stato installato qualcosa legato a Java nel passato, poi rimosso, e log4j
e` rimasto come dipendenza orfana. Guarda se per caso ti esce se dai:

# apt-get --dry-run autoremove

Bye,
Chris.

[Mario Alexandro Santini]

On Thu, Dec 16, 2021 at 10:11 AM Chris Mair <ch...@1006.org> wrote:

Ciao,

dovrebbe chiamarsi liblog4j2-java.

Sì, corretto.

 

Quindi non sembra esserci molto, ma con:

  # apt-rdepends -r -f Depends,PreDepends,Suggests,Recommends liblog4j2-java

mi esce essenzialmente l'intera Ubuntu :)
Potrebbe essere entrato via un suggested o recommended?

Immagino di sì.

Ma per come mi confermi, è indispensabile aggiornare, perché fare la patch richiede di seguire ovunque venga usato e poi verificare come sistemare...

 

O forse c'e` stato installato qualcosa legato a Java nel passato, poi rimosso, e log4j
e` rimasto come dipendenza orfana. Guarda se per caso ti esce se dai:

  # apt-get --dry-run autoremove

Purtroppo non lo leva, avevano provato.

Non abbiamo osato fare il remove, dato che il problema lo abbiamo sulle macchine di produzione...

E anche gli altri ambienti non possono essere bloccati in questi giorni.

Come sempre, grazie Chris!

Bye,
Chris.

Mario 

[Nicola Pedot]

Si parla di 2.17

https://snyk.io/blog/log4shell-remediation-cheat-sheet/

https://snyk.io/blog/log4j-2-16-vulnerability-cve-2021-45105-discovered/

e per chi vuole seguire:

https://snyk.io/log4j-vulnerability-resources/

NiPe

--

You received this message because you are subscribed to the Google Groups "JUG Trentino Alto Adige Suedtirol" group.
To unsubscribe from this group and stop receiving emails from it, send an email to jugtaa+un...@googlegroups.com.

To view this discussion on the web visit https://groups.google.com/d/msgid/jugtaa/CAMUoZec2vKJ-T8K2v71Aowz%3D5otA6o%3Dwiq_6pAWh%3DdNMMPQStQ%40mail.gmail.com.

[Mario Alexandro Santini]

On 12/22/21 8:46 PM, Nicola Pedot wrote:
> Si parla di 2.17
> https://snyk.io/blog/log4shell-remediation-cheat-sheet/

> <https://snyk.io/blog/log4shell-remediation-cheat-sheet/>
> https://snyk.io/blog/log4j-2-16-vulnerability-cve-2021-45105-discovered/

> <https://snyk.io/blog/log4j-2-16-vulnerability-cve-2021-45105-discovered/>
>
> e per chi vuole seguire:
> https://snyk.io/log4j-vulnerability-resources/

> <https://snyk.io/log4j-vulnerability-resources/>
>
Ciao Nicola,

grazie per la segnalazione, credo che diverse persone stiano già
seguendo e aggiornando i propri sistemi.


> NiPe
>


Mario