Log4j...

[hagen.s...@gmail.com]

Hallo,

da bisher noch nichts zu lesen war (und der tolle Picapport-Server ja auch eine Java-Anwendung ist) taucht für mich die Frage auf, ob die aktuell heiss diskutierte Log4J-Problematik auch für Picapport zum Problem werden könnte...

Vielleicht ist das auch völlig abwegig oder leicht zu beheben, insofern wäre ein kurzes Statement der Entwickler schön :-).

VG...

[micke...@gmail.com]

+1

[micke...@gmail.com]

Bad News ! PicApport seems to be affected by CVE-2021-44228 (log4j - 0day)

Betroffen sind die log4j Versionen 2 bis 2.15 .

Die Signatur der .class in der picapport-headless.jar v10.2.00 (md5 113cdd6707407b13d76c246ad8f06d42)  lässt auf die Verwendung von log4j 2.9.0 - 2.11.2 schließen.

Reference:

https://github.com/fox-it/log4j-finder/blob/main/log4j-finder.py

[micke...@gmail.com]

PicApport hat am 13.12.21 bereits ein Update mit einer neueren Version von log4j herausgebracht (https://www.picapport.de/de/photo-server-download.php). Im Changelog steht, dass ein Update auf Version 2.15.0 erfolgt ist.

Die Signatur der .class in der picapport-headless.jar v10.3.00 (md5 8ab66b5dd050716b9e09d6a2b9f00d3a)  lässt auf die Verwendung von log4j 2.15.0 schließen.

Dieser erste Fix ist leider weiterhin anfällig für Denial of Service Attacks (https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-45046).

Benötigt wird log4j Version 2.16.0 !

[micke...@gmail.com]

PicApport Version v10.3.01 ist gefixt  (update a.s.a.p. !)

Auch wenn im Changelog nach 10.3.00 noch nichts zu lesen ist, habe ich in der v10.3.01 (picapport-headless.jar, md5 75cd22a44ca69d18e401c22f2436fb8a) das log4j Paket v2.16.0 (save) gefunden.

Ich kann nur jedem raten sofort das Update zu machen und wo es nicht möglich ist, den Bilder Server nicht aus dem Internet erreichbar zu haben.

Mit der neuen Version sollte das aber wieder problemlos möglich sein.

Vielen Dank für den schnellen Fix !

Grüße,

Michael