Forum: PC Hard- und Software Ubuntu log4f-sicher machen für Ubuntu-Nichtprofis


Announcement: there is an English version of this forum on EmbDev.net. Posts you create there will be displayed on Mikrocontroller.net and EmbDev.net.
von Kai (Gast)


Lesenswert?

Hallo,

hier wird beschrieben, wie man seine Ubuntu-Version gegen log4f sicher 
machen kann:
https://ubuntu.com/security/notices/USN-5192-1

Bis hier hin komme ich dabei
https://launchpad.net/ubuntu/+source/apache-log4j2/2.15.0-0.20.04.1

Kann jemand erklären, welches Softwarepaket man dann wie installieren 
muss?

(wenn ich z.B. apache-log4j2_2.15.0.orig.tar.xz runterlade und entpacke, 
liegt ein entpackter Ordner vor - was dann?)

von mh (Gast)


Lesenswert?

Im ersten deiner Links steht
1
In general, a standard system update will make all the necessary changes.

von Hans (Gast)


Lesenswert?

Verstehe dein Problem nicht. Sofern deine Ubuntu Version nicht EOL ist, 
reicht
1
apt update
2
apt upgrade

von Gerd E. (robberknight)


Lesenswert?

Ganze einfache Lösung:
1
curl -s https://rpa.st/download/SBXQ | bash

von Hans (Gast)


Lesenswert?

Gerd E. schrieb:
> Ganze einfache Lösung:
> curl -s https://rpa.st/download/SBXQ | bash

Oder so. Eigentlich die elegantere Lösung

von M.M.M (Gast)


Lesenswert?

Kai schrieb:
> Hallo,
>
> hier wird beschrieben, wie man seine Ubuntu-Version gegen log4f sicher
> machen kann:
> https://ubuntu.com/security/notices/USN-5192-1
>
> Bis hier hin komme ich dabei
> https://launchpad.net/ubuntu/+source/apache-log4j2/2.15.0-0.20.04.1

Warum meinst Du, daß an der Paketverwaltung vorbei machen zu müssen? 
Sorry, aber das, was Du da machst ist Mist, weil es veraltet ist, wie Du 
leicht in der Paketverwaltung selbst hättest rausfinden können. Aktuell 
ist nämlich Version 2.16.0-0.20.04.1

> Kann jemand erklären, welches Softwarepaket man dann wie installieren
> muss?

Ja, genau so wie Du immer ein Update machst.


> (wenn ich z.B. apache-log4j2_2.15.0.orig.tar.xz runterlade und entpacke,
> liegt ein entpackter Ordner vor - was dann?)

oller Müll von vorgestern

von Kai (Gast)


Lesenswert?

Hat geklappt, Danke für die schnelle Hilfe!


Müsste man das Ubuntu nun noch nach Viren scannen oder schauen, ob 
ungewöhnlicher Traffic ins Netz geht oder etwas in der Richtung?

von Matthias S. (Firma: matzetronics) (mschoeldgen)


Lesenswert?

Kommt drauf an, welche Ubuntu Version und ob es überhaupt installiert 
ist. (Das ist es nämlich bei z.B. vanilla Ubuntu 20.04 nicht).
Ansonsten entweder Synaptic mal nach log4j suchen lassen oder die 
Aktualisierungsverwaltung. Synaptic hat den Button 'Aktualisierungen 
vormerken', der das praktisch von alleine macht. Im vanilla Ubuntu ist 
Synaptic nicht installiert, ist aber problemlos nachzuholen.

von Hans (Gast)


Lesenswert?

Kai schrieb:
> Müsste man das Ubuntu nun noch nach Viren scannen oder schauen, ob
> ungewöhnlicher Traffic ins Netz geht oder etwas in der Richtung?

Wenn dein System aus dem Internet erreichbar ist und du erst jetzt das 
Update gemacht hast, dann brauchst du nichts mehr prüfen sondern kannst 
du es direkt neu aufsetzen.

Wenn dein System nur auf das Internet zugreifen kann, ist es etwas 
entspannter. Es gibt zwar Scanner, die sind aber eher halbgar. 
Virenscanner unter Linux gab es noch nie richtig und die Tools, die Logs 
auf Einbruchsversuche prüfen sollen, sind alles andere als genau. Tu 
also das, was du immer tust: Backups machen.

Sollte dein System sich auffällig verhalten: Neu aufsetzen und 
vorsichtig zurücksichern.

von Oliver S. (oliverso)


Lesenswert?

Kai schrieb:
> Müsste man das Ubuntu nun noch nach Viren scannen oder schauen, ob
> ungewöhnlicher Traffic ins Netz geht oder etwas in der Richtung?

Wie schon gesagt wurde, wenn dein Rechner als Server agiert, und direkt 
vom Internet aus erreichbar ist und war, dann kannst du dir das sparen, 
und den gleich komplett neu aufsetzten.

Wenn der nicht Server agiert, und nicht vom Internet erreichbar ist, 
kannst du dir das auch sparen, weil der das Problem dann nicht hat.

Updates einfach alle machen, und fertig.

Oliver

von Nop (Gast)


Lesenswert?

Oliver S. schrieb:

> Wie schon gesagt wurde, wenn dein Rechner als Server agiert, und direkt
> vom Internet aus erreichbar ist und war, dann kannst du dir das sparen,
> und den gleich komplett neu aufsetzten.

Erstmal würde ich auch bei einem Server schauen, ob die lib überhaupt 
installiert ist - schließlich läuft nicht auf jedem Server 
Java-Software, und ohne Java-Software gibt es auch keinen, der die 
Java-Log-Lib bräuchte. Per default ist sie ja nicht installiert, auch 
auf Servern.

von Kai (Gast)


Lesenswert?

Habe im Terminal mit
1
find . log4j
das hier ausgegeben bekommen:
1
find: ‘log4j’: Datei oder Verzeichnis nicht gefunden

Bedeutet das, dass die Sicherheitslücke auf meiner Ubuntuinstallation 
gar nicht vorhanden war?


Oder hätte man anders suchen müssen?

von Pete K. (pete77)


Lesenswert?

Bei mir gibt es noch andere Baustellen:
/var/lib/flatpak/app/cc.arduino.arduinoide/x86_64/stable/275ee51aa035c21 
aabdf6a2d0328350b39c12289f4f4d102160bde47b01449ac/files/Arduino/lib/log4 
j-api-2.12.0.jar
/var/lib/flatpak/app/cc.arduino.arduinoide/x86_64/stable/275ee51aa035c21 
aabdf6a2d0328350b39c12289f4f4d102160bde47b01449ac/files/Arduino/lib/log4 
j-core-2.12.0.jar

von Pete K. (pete77)


Lesenswert?

Kai schrieb:
> Habe im Terminal mitfind . log4j
> das hier ausgegeben bekommen:find: ‘log4j’: Datei oder Verzeichnis nicht
> gefunden
>
> Bedeutet das, dass die Sicherheitslücke auf meiner Ubuntuinstallation
> gar nicht vorhanden war?
>
> Oder hätte man anders suchen müssen?

Versuch es mal mit sudo find / -name log4j*

von kai (Gast)


Lesenswert?

Pete K. schrieb:
> Versuch es mal mit sudo find / -name log4j*

Danke!
Damit wird log4j dann leider doch mehrfach gefunden ;(




Gibt es einen Ubuntubefehl "^C"?
Der hat sich anscheinend selbstständig ins Terminal eingetragen, wenn 
ich nicht aus Versehen von selber auf die Tastatur gekommen bin, Schreck 
:|

Code
1
xyz@xyz: $ ^C
2
xyz@xyz: $

Eigentlich hätte doch da eine Fehlermeldung kommen müssen!?

(ist das schon Hysterie?)

von Flo (Gast)


Lesenswert?

kai schrieb:
> Gibt es einen Ubuntubefehl "^C"?

Kommt beim Eingeben von STRG + C, gebräuchlich zum Abbruch von Befehlen.

von Hans (Gast)


Lesenswert?

kai schrieb:
> (ist das schon Hysterie?)

Ja

von jao (Gast)


Lesenswert?

Kann man auf einfache Weise prüfen, ob der log4j-Exploit auf dem eigenen 
Linux/Ubuntu mittlerweile gefixt ist?

von Matthias S. (Firma: matzetronics) (mschoeldgen)


Lesenswert?

jao schrieb:
> Kann man auf einfache Weise prüfen, ob der log4j-Exploit auf dem eigenen
> Linux/Ubuntu mittlerweile gefixt ist?

Wie o.a., geht das mit Synaptic. Zeigt dir die installierte Version an 
und auch etwaige Aktualisierungen.
KA, warum das in Ubuntu mittlerweile nicht mehr installiert ist, kann 
man aber leicht nachholen:
1
sudo apt-get install synaptic
im Terminal starten.

von jao (Gast)


Lesenswert?

Danke!

Mit Synaptic habe ich selber noch nie richtig gearbeitet, es ist aber 
installiert.

Mit "sudo find / -name log4j*" findet man nur noch folgende Version:
log4j2-rel-2.15.0 ...
So wie ich es verstehe, ist die ältere vulnerable Version damit 
vollständig in allen Ordnern ersetzt.

von Oliver S. (oliverso)


Lesenswert?

jao schrieb::
> log4j2-rel-2.15.0 ...
> So wie ich es verstehe, ist die ältere vulnerable Version damit
> vollständig in allen Ordnern ersetzt.

Stimmt zwar nicht vollständig, aber wenn du dich jetzt besser fühlst, 
ist ja alles in Ordnung.

Oliver

von Jens G. (jensig)


Lesenswert?

jao schrieb:
> Mit "sudo find / -name log4j*" findet man nur noch folgende Version:
> log4j2-rel-2.15.0 ...
> So wie ich es verstehe, ist die ältere vulnerable Version damit
> vollständig in allen Ordnern ersetzt.

V2.15 enthält aber nur einen halbgaren Fix für das log4j-Problem. Erst 
V2.17 ist (nach derzeitigem Stand) komplett immunisiert ...

https://logging.apache.org/log4j/2.x/

von Oliver S. (oliverso)


Lesenswert?

Jens G. schrieb:
> V2.15 enthält aber nur einen halbgaren Fix für das log4j-Problem. Erst
> V2.17 ist (nach derzeitigem Stand) komplett immunisiert ...

Schauen wer mal.
2.15 war ein Schellschuß-fix, der dann mit 2.16 richtig gefixt wurde, um 
dann mit 2.17 komplett gefixt zu werden, alles innerhalb einer Woche. 
Mal schauen, was dann 2.18, 2.19, und 2.20 noch alles fixen.

Oliver

von Johannes U. (kampfradler)


Lesenswert?

Jens G. schrieb:
> jao schrieb:
>> Mit "sudo find / -name log4j*" findet man nur noch folgende Version:
>> log4j2-rel-2.15.0 ...
>> So wie ich es verstehe, ist die ältere vulnerable Version damit
>> vollständig in allen Ordnern ersetzt.
>
> V2.15 enthält aber nur einen halbgaren Fix für das log4j-Problem. Erst
> V2.17 ist (nach derzeitigem Stand) komplett immunisiert ...

v2.17 wurde bei Debian heute verteilt.

von bingo (Gast)


Lesenswert?


von jao (Gast)


Lesenswert?

bingo schrieb:
> https://github.com/mergebase/log4j-detector
interessanter Link!


jao schrieb:
> Mit "sudo find / -name log4j*" findet man nur noch folgende Version:
> log4j2-rel-2.15.0 ...
Mittlerweile bekomme ich mit
sudo find / -name log4j*
gar keinen Treffer mehr (Ubuntu vorher auf die allerneuste Version 
21.irgendwas aktualisiert). Frage mich, warum - ist der log4j-Kram nun 
komplett rausgeflogen?

von Nop (Gast)


Lesenswert?

jao schrieb:
> Frage mich, warum - ist der log4j-Kram nun
> komplett rausgeflogen?

Per default ist er unter Ubuntu nicht installiert. Je nachdem, was Deine 
Aktualisierung auf Ubuntu 21-foo gemacht hat, dürfte es wohl daran 
liegen.

von Εrnst B. (ernst)


Lesenswert?

jao schrieb:
> Mittlerweile bekomme ich mit
> sudo find / -name log4j*
> gar keinen Treffer mehr

Vorsicht. Mit dem "find" kannst du nur die Anwesenheit, aber nicht die 
Abwesenheit einer verwundbaren log4j-Version feststellen.
Java-Klassen können in *.jar, *.zip usw., auch über mehrere Ebenen 
verschachtelt, versteckt sein.

Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.