Kai schrieb:> Hallo,>> hier wird beschrieben, wie man seine Ubuntu-Version gegen log4f sicher> machen kann:> https://ubuntu.com/security/notices/USN-5192-1>> Bis hier hin komme ich dabei> https://launchpad.net/ubuntu/+source/apache-log4j2/2.15.0-0.20.04.1
Warum meinst Du, daß an der Paketverwaltung vorbei machen zu müssen?
Sorry, aber das, was Du da machst ist Mist, weil es veraltet ist, wie Du
leicht in der Paketverwaltung selbst hättest rausfinden können. Aktuell
ist nämlich Version 2.16.0-0.20.04.1
> Kann jemand erklären, welches Softwarepaket man dann wie installieren> muss?
Ja, genau so wie Du immer ein Update machst.
> (wenn ich z.B. apache-log4j2_2.15.0.orig.tar.xz runterlade und entpacke,> liegt ein entpackter Ordner vor - was dann?)
oller Müll von vorgestern
Hat geklappt, Danke für die schnelle Hilfe!
Müsste man das Ubuntu nun noch nach Viren scannen oder schauen, ob
ungewöhnlicher Traffic ins Netz geht oder etwas in der Richtung?
Kommt drauf an, welche Ubuntu Version und ob es überhaupt installiert
ist. (Das ist es nämlich bei z.B. vanilla Ubuntu 20.04 nicht).
Ansonsten entweder Synaptic mal nach log4j suchen lassen oder die
Aktualisierungsverwaltung. Synaptic hat den Button 'Aktualisierungen
vormerken', der das praktisch von alleine macht. Im vanilla Ubuntu ist
Synaptic nicht installiert, ist aber problemlos nachzuholen.
Kai schrieb:> Müsste man das Ubuntu nun noch nach Viren scannen oder schauen, ob> ungewöhnlicher Traffic ins Netz geht oder etwas in der Richtung?
Wenn dein System aus dem Internet erreichbar ist und du erst jetzt das
Update gemacht hast, dann brauchst du nichts mehr prüfen sondern kannst
du es direkt neu aufsetzen.
Wenn dein System nur auf das Internet zugreifen kann, ist es etwas
entspannter. Es gibt zwar Scanner, die sind aber eher halbgar.
Virenscanner unter Linux gab es noch nie richtig und die Tools, die Logs
auf Einbruchsversuche prüfen sollen, sind alles andere als genau. Tu
also das, was du immer tust: Backups machen.
Sollte dein System sich auffällig verhalten: Neu aufsetzen und
vorsichtig zurücksichern.
Kai schrieb:> Müsste man das Ubuntu nun noch nach Viren scannen oder schauen, ob> ungewöhnlicher Traffic ins Netz geht oder etwas in der Richtung?
Wie schon gesagt wurde, wenn dein Rechner als Server agiert, und direkt
vom Internet aus erreichbar ist und war, dann kannst du dir das sparen,
und den gleich komplett neu aufsetzten.
Wenn der nicht Server agiert, und nicht vom Internet erreichbar ist,
kannst du dir das auch sparen, weil der das Problem dann nicht hat.
Updates einfach alle machen, und fertig.
Oliver
Oliver S. schrieb:> Wie schon gesagt wurde, wenn dein Rechner als Server agiert, und direkt> vom Internet aus erreichbar ist und war, dann kannst du dir das sparen,> und den gleich komplett neu aufsetzten.
Erstmal würde ich auch bei einem Server schauen, ob die lib überhaupt
installiert ist - schließlich läuft nicht auf jedem Server
Java-Software, und ohne Java-Software gibt es auch keinen, der die
Java-Log-Lib bräuchte. Per default ist sie ja nicht installiert, auch
auf Servern.
Bei mir gibt es noch andere Baustellen:
/var/lib/flatpak/app/cc.arduino.arduinoide/x86_64/stable/275ee51aa035c21
aabdf6a2d0328350b39c12289f4f4d102160bde47b01449ac/files/Arduino/lib/log4
j-api-2.12.0.jar
/var/lib/flatpak/app/cc.arduino.arduinoide/x86_64/stable/275ee51aa035c21
aabdf6a2d0328350b39c12289f4f4d102160bde47b01449ac/files/Arduino/lib/log4
j-core-2.12.0.jar
Kai schrieb:> Habe im Terminal mitfind . log4j> das hier ausgegeben bekommen:find: ‘log4j’: Datei oder Verzeichnis nicht> gefunden>> Bedeutet das, dass die Sicherheitslücke auf meiner Ubuntuinstallation> gar nicht vorhanden war?>> Oder hätte man anders suchen müssen?
Versuch es mal mit sudo find / -name log4j*
Pete K. schrieb:> Versuch es mal mit sudo find / -name log4j*
Danke!
Damit wird log4j dann leider doch mehrfach gefunden ;(
Gibt es einen Ubuntubefehl "^C"?
Der hat sich anscheinend selbstständig ins Terminal eingetragen, wenn
ich nicht aus Versehen von selber auf die Tastatur gekommen bin, Schreck
:|
Code
1
xyz@xyz: $ ^C
2
xyz@xyz: $
Eigentlich hätte doch da eine Fehlermeldung kommen müssen!?
(ist das schon Hysterie?)
jao schrieb:> Kann man auf einfache Weise prüfen, ob der log4j-Exploit auf dem eigenen> Linux/Ubuntu mittlerweile gefixt ist?
Wie o.a., geht das mit Synaptic. Zeigt dir die installierte Version an
und auch etwaige Aktualisierungen.
KA, warum das in Ubuntu mittlerweile nicht mehr installiert ist, kann
man aber leicht nachholen:
Danke!
Mit Synaptic habe ich selber noch nie richtig gearbeitet, es ist aber
installiert.
Mit "sudo find / -name log4j*" findet man nur noch folgende Version:
log4j2-rel-2.15.0 ...
So wie ich es verstehe, ist die ältere vulnerable Version damit
vollständig in allen Ordnern ersetzt.
jao schrieb::
> log4j2-rel-2.15.0 ...> So wie ich es verstehe, ist die ältere vulnerable Version damit> vollständig in allen Ordnern ersetzt.
Stimmt zwar nicht vollständig, aber wenn du dich jetzt besser fühlst,
ist ja alles in Ordnung.
Oliver
jao schrieb:> Mit "sudo find / -name log4j*" findet man nur noch folgende Version:> log4j2-rel-2.15.0 ...> So wie ich es verstehe, ist die ältere vulnerable Version damit> vollständig in allen Ordnern ersetzt.
V2.15 enthält aber nur einen halbgaren Fix für das log4j-Problem. Erst
V2.17 ist (nach derzeitigem Stand) komplett immunisiert ...
https://logging.apache.org/log4j/2.x/
Jens G. schrieb:> V2.15 enthält aber nur einen halbgaren Fix für das log4j-Problem. Erst> V2.17 ist (nach derzeitigem Stand) komplett immunisiert ...
Schauen wer mal.
2.15 war ein Schellschuß-fix, der dann mit 2.16 richtig gefixt wurde, um
dann mit 2.17 komplett gefixt zu werden, alles innerhalb einer Woche.
Mal schauen, was dann 2.18, 2.19, und 2.20 noch alles fixen.
Oliver
Jens G. schrieb:> jao schrieb:>> Mit "sudo find / -name log4j*" findet man nur noch folgende Version:>> log4j2-rel-2.15.0 ...>> So wie ich es verstehe, ist die ältere vulnerable Version damit>> vollständig in allen Ordnern ersetzt.>> V2.15 enthält aber nur einen halbgaren Fix für das log4j-Problem. Erst> V2.17 ist (nach derzeitigem Stand) komplett immunisiert ...
v2.17 wurde bei Debian heute verteilt.
bingo schrieb:> https://github.com/mergebase/log4j-detector
interessanter Link!
jao schrieb:> Mit "sudo find / -name log4j*" findet man nur noch folgende Version:> log4j2-rel-2.15.0 ...
Mittlerweile bekomme ich mit
sudo find / -name log4j*
gar keinen Treffer mehr (Ubuntu vorher auf die allerneuste Version
21.irgendwas aktualisiert). Frage mich, warum - ist der log4j-Kram nun
komplett rausgeflogen?
jao schrieb:> Frage mich, warum - ist der log4j-Kram nun> komplett rausgeflogen?
Per default ist er unter Ubuntu nicht installiert. Je nachdem, was Deine
Aktualisierung auf Ubuntu 21-foo gemacht hat, dürfte es wohl daran
liegen.
jao schrieb:> Mittlerweile bekomme ich mit> sudo find / -name log4j*> gar keinen Treffer mehr
Vorsicht. Mit dem "find" kannst du nur die Anwesenheit, aber nicht die
Abwesenheit einer verwundbaren log4j-Version feststellen.
Java-Klassen können in *.jar, *.zip usw., auch über mehrere Ebenen
verschachtelt, versteckt sein.