[Admin] CVE-2021-44228

Hallo,

die Elasticsearch Instanzen hinter Zammad und Mediawiki sind mit der vorgeschlagenen JVM-System-Property ausgestattet und neugestartet.

Haben wir sonst noch was mit Java, wo evtl. Log4j drin laufen könnte?

VG Simon

evtl. map und git?

LG
Tarek

Map ist Nodejs, Gitlab glaube ich Ruby?

Folgende Befehle können als Mitigationsmaßnahme eingesetzt werden:

grep -qxF ‚LOG4J_FORMAT_MSG_NO_LOOKUPS=„true“‘ /etc/environment || sudo sh -c ‚echo „LOG4J_FORMAT_MSG_NO_LOOKUPS="true"“ >> /etc/environment‘

Ein Reboot sollte durchgeführt werden, damit alle potentiellen JVMs neugestartet werden und die Umgebungsvariable anwenden.

Das sollte auch präventiv möglich sein und sonst keine Probleme verursachen!

Hier ist ne „relativ“ komplette Liste, wo Services aufgelistet sind, die die Log4j lücke haben. Ob und wie die Dienste angreifbar sind, ist noch ne andere Sache.

https://gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592

Wenn die env .*LOG4J.* vorkomt könnte man doch auch via pssh einmal auf allen maschienen danach grebben. Dann könnten wir ausschließen das mir nicht doch noch irgendwoe was vergessen haben.

LG
Tarek

Bei solr und elasticsearch reicht es auch „-Dlog4j2.formatMsgNoLookups=true“ zu den JavaOpts hinzuzufügen.