Hallo, die Elasticsearch Instanzen hinter Zammad und Mediawiki sind mit der vorgeschlagenen JVM-System-Property ausgestattet und neugestartet. Haben wir sonst noch was mit Java, wo evtl. Log4j drin laufen könnte? VG Simon
On 13/12/2021 01:35, Simon Kurka über Admin wrote:
Hallo,
die Elasticsearch Instanzen hinter Zammad und Mediawiki sind mit der vorgeschlagenen JVM-System-Property ausgestattet und neugestartet.
Haben wir sonst noch was mit Java, wo evtl. Log4j drin laufen könnte?
evtl. map und git? LG Tarek
Map ist Nodejs, Gitlab glaube ich Ruby? Jan-Tarek Butt über Admin <admin@lists.ffnw.de> schrieb am Mo., 13. Dez. 2021, 10:55:
On 13/12/2021 01:35, Simon Kurka über Admin wrote:
Hallo,
die Elasticsearch Instanzen hinter Zammad und Mediawiki sind mit der vorgeschlagenen JVM-System-Property ausgestattet und neugestartet.
Haben wir sonst noch was mit Java, wo evtl. Log4j drin laufen könnte?
evtl. map und git?
LG Tarek _______________________________________________ Admin Mailingliste -- admin@lists.ffnw.de Zur Abmeldung von dieser Mailingliste senden Sie eine Nachricht an admin-leave@lists.ffnw.de
Hier ist ne "relativ" komplette Liste, wo Services aufgelistet sind, die die Log4j lücke haben. Ob und wie die Dienste angreifbar sind, ist noch ne andere Sache. https://gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592 Am 13.12.21 um 10:58 schrieb Simon Kurka über Admin:
Map ist Nodejs, Gitlab glaube ich Ruby?
Jan-Tarek Butt über Admin <admin@lists.ffnw.de> schrieb am Mo., 13. Dez. 2021, 10:55:
On 13/12/2021 01:35, Simon Kurka über Admin wrote: > Hallo, > > die Elasticsearch Instanzen hinter Zammad und Mediawiki sind mit der > vorgeschlagenen JVM-System-Property ausgestattet und neugestartet. > > Haben wir sonst noch was mit Java, wo evtl. Log4j drin laufen könnte? >
evtl. map und git?
LG Tarek _______________________________________________ Admin Mailingliste -- admin@lists.ffnw.de Zur Abmeldung von dieser Mailingliste senden Sie eine Nachricht an admin-leave@lists.ffnw.de
_______________________________________________ Admin Mailingliste --admin@lists.ffnw.de Zur Abmeldung von dieser Mailingliste senden Sie eine Nachricht anadmin-leave@lists.ffnw.de
Folgende Befehle können als Mitigationsmaßnahme eingesetzt werden:
grep -qxF 'LOG4J_FORMAT_MSG_NO_LOOKUPS="true"' /etc/environment || sudo sh -c 'echo "LOG4J_FORMAT_MSG_NO_LOOKUPS=\"true\"" >> /etc/environment'
Ein Reboot sollte durchgeführt werden, damit alle potentiellen JVMs neugestartet werden und die Umgebungsvariable anwenden. Das sollte auch präventiv möglich sein und sonst keine Probleme verursachen!
On 13/12/2021 11:01, Simon Kurka über Admin wrote:
Folgende Befehle können als Mitigationsmaßnahme eingesetzt werden:
grep -qxF 'LOG4J_FORMAT_MSG_NO_LOOKUPS="true"' /etc/environment || sudo sh -c 'echo "LOG4J_FORMAT_MSG_NO_LOOKUPS=\"true\"" >> /etc/environment'
Ein Reboot sollte durchgeführt werden, damit alle potentiellen JVMs neugestartet werden und die Umgebungsvariable anwenden.
Das sollte auch präventiv möglich sein und sonst keine Probleme verursachen!
Wenn die env .*LOG4J.* vorkomt könnte man doch auch via pssh einmal auf allen maschienen danach grebben. Dann könnten wir ausschließen das mir nicht doch noch irgendwoe was vergessen haben. LG Tarek
Bei solr und elasticsearch reicht es auch "-Dlog4j2.formatMsgNoLookups=true" zu den JavaOpts hinzuzufügen. Am 13.12.21 um 11:01 schrieb Simon Kurka über Admin:
Folgende Befehle können als Mitigationsmaßnahme eingesetzt werden:
grep -qxF 'LOG4J_FORMAT_MSG_NO_LOOKUPS="true"' /etc/environment || sudo sh -c 'echo "LOG4J_FORMAT_MSG_NO_LOOKUPS=\"true\"" >> /etc/environment'
Ein Reboot sollte durchgeführt werden, damit alle potentiellen JVMs neugestartet werden und die Umgebungsvariable anwenden.
Das sollte auch präventiv möglich sein und sonst keine Probleme verursachen!
_______________________________________________ Admin Mailingliste --admin@lists.ffnw.de Zur Abmeldung von dieser Mailingliste senden Sie eine Nachricht anadmin-leave@lists.ffnw.de
participants (3)
-
Florian Lottes -
Jan-Tarek Butt -
Simon Kurka