gevaarlijk mededeling!

[Spidey-Westland]

Via ons provider voor de kerkinstallatie heeft mij een bericht omtrent het onderwerp: "Apache Log4j"

Heeft dit ook voor Linux?

Gebruik zelf Firefox om inloggen voor "KerkBeamer"

Lees maar op

Code: [Selecteer]

https://www.techzine.nl/nieuws/security/472362/ncsc-waarschuwt-voor-zeer-kritiek-lek-in-apache-log4j-software/
SPW

[atomos]

Als er java en Log4j gebruikt wordt dan ja op de server. Als de server overgenomen is als root dan gelden natuurlijk andere zaken.

[partyrabbit]

Via ons provider voor de kerkinstallatie heeft mij een bericht omtrent het onderwerp: "Apache Log4j"

Heeft dit ook voor Linux?

Alleen als je Apache hebt draaien (dus internet en/of intranet).
Apache heeft niet direct iets te maken met een OS en staat verder in principe geheel los van linux, win of mac.

Voor ons als 'slechts linux-gebruiker' is dit dus niet van belang. Voor de ISP van dit forum bv wel.

[MKe]

Sorry PartyRabbit, dat is niet helemaal correct. Vrijwel elk Java programma gebruikt die module. Dus als je b.v. Minecraft speelt op je computer dan ben je ook kwetsbaar. Het heeft dus niets met de Apache webserver te maken.

Maar de kans dat ze hiermee privé laptops zullen aanvallen lijkt me idd niet zo groot. Het risico zit voornamelijk als je Java apps in een service runt.

[Tuxjo]

Maar de kans dat ze hiermee privé laptops zullen aanvallen lijkt me idd niet zo groot.

Moet de 'doorsnee' linux-gebruiker (die geen servers heeft draaien) nog bepaalde acties ondernemen om het risico - verder - te verkleinen? Of is alles up-to-date houden voldoende.

Zorgt de addon NoScript ook voor beveiliging bij Java of is dat enkel Javascript? Hier niet zo technisch vandaar mijn vraag . 

[MKe]

Maar de kans dat ze hiermee privé laptops zullen aanvallen lijkt me idd niet zo groot.

Moet de 'doorsnee' linux-gebruiker (die geen servers heeft draaien) nog bepaalde acties ondernemen om het risico - verder - te verkleinen? Of is alles up-to-date houden voldoende.

Zorgt de addon NoScript ook voor beveiliging bij Java of is dat enkel Javascript? Hier niet zo technisch vandaar mijn vraag .

NoScript is idd voor JavaScript en heeft hier niets mee van doen.

Als het goed is worden de meeste, veel gebruikte Java apps in de repo’s snel gepatched.
Theoretisch is het mogelijk om handmatig de log4j module in elke app te gaan vervangen maar dat geeft denk ik meer problemen dan wat het oplost.
Draai je wat meer obscuurder software, kijk dan of die zelf een update uitbrengen en zorg ervoor dat je dat installeert.

Uiteindelijk denk ik niet dat je je al te veel zorgen moet maken als je je systeem up to date houdt.

[atomos]

Zorgen maken is zeker relevant als je een server draait met java die " een rechtstreeks " verbinding maakt met het Internet.
Ik weet alleen niet zeker of mijn eigen configuratie wel hack bestendig is.. een reverse proxy die het verkeer regelt naar verschillende servers waar o.a. een server met een java applicatie.

[Pjotr]

Zo controleer je of je liblog4j2-java hebt geïnstalleerd (en dus kwetsbaar bent):

Code: [Selecteer]

apt version liblog4j2-java
Geeft dat geen enkele uitvoer, dan zit je goed. Heb je het wel, dan is de kwetsbaarheid reeds verholpen via een veiligheidsreparatie, die je natuurlijk wel even moet installeren:
https://ubuntu.com/security/notices/USN-5192-1

Kortom: ook met een volledig bijgewerkt systeem is alles in orde.

[peer]

dit is mijn output:

Code: [Selecteer]

$ apt version liblog4j2-java
E: Invalid operation version
In synaptic zie ik dat liblog4j2-java niet is geïnstalleerd

[bart85]

Met onderstaande kun je ook zien of het geïnstalleerd is:

Code: [Selecteer]

apt list --installed | grep log4j

[MKe]

Zo controleer je of je liblog4j2-java hebt geïnstalleerd (en dus kwetsbaar bent):

Code: [Selecteer]

apt version liblog4j2-java
Geeft dat geen enkele uitvoer, dan zit je goed. Heb je het wel, dan is de kwetsbaarheid reeds verholpen via een veiligheidsreparatie, die je natuurlijk wel even moet installeren:
https://ubuntu.com/security/notices/USN-5192-1

Kortom: ook met een volledig bijgewerkt systeem is alles in orde.

Helemaal mee eens. Een kanttekening is dat deze veiligheidsupdate niet geldt voor applicaties die geïnstalleerd zijn met snap, flatpak of appimages. Ook applicaties die buiten de repo’s om zijn geïnstalleerd hebben mogelijk een eigen versie van log4j.

[Tuxjo]

Een kanttekening is dat deze veiligheidsupdate niet geldt voor applicaties die geïnstalleerd zijn met snap, flatpak of appimages. Ook applicaties die buiten de repo’s om zijn geïnstalleerd hebben mogelijk een eigen versie van log4j.

Bestaat er toevallig ook een commando om snap, flatpak, appimages en 'buiten-repo-om-apps' mee te controleren?

[HWE64]

In Xubuntu 20.04.3 krijg ik dit?

Code: [Selecteer]

henk@henk-HP-Elite:~$ apt version liblog4j2-java
E: Ongeldige bewerking version
henk@henk-HP-Elite:~$



[Bloom]

Gebruik dan apt policy.

[HWE64]

Gebruik dan apt policy.

@Bloom, heb ik gedaan en wordt er nog minder wijs door

Code: [Selecteer]

henk@henk-HP-Elite:~$ apt policy
Pakketbestanden:
 100 /var/lib/dpkg/status
     release a=now
 500 http://dl.google.com/linux/chrome/deb stable/main amd64 Packages
     release v=1.0,o=Google LLC,a=stable,n=stable,l=Google,c=main,b=amd64
     origin dl.google.com
 100 http://ftp.nluug.nl/os/Linux/distr/ubuntu focal-backports/universe i386 Packages
     release v=20.04,o=Ubuntu,a=focal-backports,n=focal,l=Ubuntu,c=universe,b=i386
     origin ftp.nluug.nl
 100 http://ftp.nluug.nl/os/Linux/distr/ubuntu focal-backports/universe amd64 Packages
     release v=20.04,o=Ubuntu,a=focal-backports,n=focal,l=Ubuntu,c=universe,b=amd64
     origin ftp.nluug.nl
 100 http://ftp.nluug.nl/os/Linux/distr/ubuntu focal-backports/main i386 Packages
     release v=20.04,o=Ubuntu,a=focal-backports,n=focal,l=Ubuntu,c=main,b=i386
     origin ftp.nluug.nl
 100 http://ftp.nluug.nl/os/Linux/distr/ubuntu focal-backports/main amd64 Packages
     release v=20.04,o=Ubuntu,a=focal-backports,n=focal,l=Ubuntu,c=main,b=amd64
     origin ftp.nluug.nl
 500 http://ftp.nluug.nl/os/Linux/distr/ubuntu focal-updates/multiverse i386 Packages
     release v=20.04,o=Ubuntu,a=focal-updates,n=focal,l=Ubuntu,c=multiverse,b=i386
     origin ftp.nluug.nl
 500 http://ftp.nluug.nl/os/Linux/distr/ubuntu focal-updates/multiverse amd64 Packages
     release v=20.04,o=Ubuntu,a=focal-updates,n=focal,l=Ubuntu,c=multiverse,b=amd64
     origin ftp.nluug.nl
 500 http://ftp.nluug.nl/os/Linux/distr/ubuntu focal-updates/restricted i386 Packages
     release v=20.04,o=Ubuntu,a=focal-updates,n=focal,l=Ubuntu,c=restricted,b=i386
     origin ftp.nluug.nl
 500 http://ftp.nluug.nl/os/Linux/distr/ubuntu focal-updates/restricted amd64 Packages
     release v=20.04,o=Ubuntu,a=focal-updates,n=focal,l=Ubuntu,c=restricted,b=amd64
     origin ftp.nluug.nl
 500 http://ftp.nluug.nl/os/Linux/distr/ubuntu focal-updates/universe i386 Packages
     release v=20.04,o=Ubuntu,a=focal-updates,n=focal,l=Ubuntu,c=universe,b=i386
     origin ftp.nluug.nl
 500 http://ftp.nluug.nl/os/Linux/distr/ubuntu focal-updates/universe amd64 Packages
     release v=20.04,o=Ubuntu,a=focal-updates,n=focal,l=Ubuntu,c=universe,b=amd64
     origin ftp.nluug.nl
 500 http://ftp.nluug.nl/os/Linux/distr/ubuntu focal-updates/main i386 Packages
     release v=20.04,o=Ubuntu,a=focal-updates,n=focal,l=Ubuntu,c=main,b=i386
     origin ftp.nluug.nl
 500 http://ftp.nluug.nl/os/Linux/distr/ubuntu focal-updates/main amd64 Packages
     release v=20.04,o=Ubuntu,a=focal-updates,n=focal,l=Ubuntu,c=main,b=amd64
     origin ftp.nluug.nl
 500 http://security.ubuntu.com/ubuntu focal-security/multiverse i386 Packages
     release v=20.04,o=Ubuntu,a=focal-security,n=focal,l=Ubuntu,c=multiverse,b=i386
     origin security.ubuntu.com
 500 http://security.ubuntu.com/ubuntu focal-security/multiverse amd64 Packages
     release v=20.04,o=Ubuntu,a=focal-security,n=focal,l=Ubuntu,c=multiverse,b=amd64
     origin security.ubuntu.com
 500 http://security.ubuntu.com/ubuntu focal-security/restricted i386 Packages
     release v=20.04,o=Ubuntu,a=focal-security,n=focal,l=Ubuntu,c=restricted,b=i386
     origin security.ubuntu.com
 500 http://security.ubuntu.com/ubuntu focal-security/restricted amd64 Packages
     release v=20.04,o=Ubuntu,a=focal-security,n=focal,l=Ubuntu,c=restricted,b=amd64
     origin security.ubuntu.com
 500 http://security.ubuntu.com/ubuntu focal-security/universe i386 Packages
     release v=20.04,o=Ubuntu,a=focal-security,n=focal,l=Ubuntu,c=universe,b=i386
     origin security.ubuntu.com
 500 http://security.ubuntu.com/ubuntu focal-security/universe amd64 Packages
     release v=20.04,o=Ubuntu,a=focal-security,n=focal,l=Ubuntu,c=universe,b=amd64
     origin security.ubuntu.com
 500 http://security.ubuntu.com/ubuntu focal-security/main i386 Packages
     release v=20.04,o=Ubuntu,a=focal-security,n=focal,l=Ubuntu,c=main,b=i386
     origin security.ubuntu.com
 500 http://security.ubuntu.com/ubuntu focal-security/main amd64 Packages
     release v=20.04,o=Ubuntu,a=focal-security,n=focal,l=Ubuntu,c=main,b=amd64
     origin security.ubuntu.com
 500 http://ftp.nluug.nl/os/Linux/distr/ubuntu focal-security/multiverse i386 Packages
     release v=20.04,o=Ubuntu,a=focal-security,n=focal,l=Ubuntu,c=multiverse,b=i386
     origin ftp.nluug.nl
 500 http://ftp.nluug.nl/os/Linux/distr/ubuntu focal-security/multiverse amd64 Packages
     release v=20.04,o=Ubuntu,a=focal-security,n=focal,l=Ubuntu,c=multiverse,b=amd64
     origin ftp.nluug.nl
 500 http://ftp.nluug.nl/os/Linux/distr/ubuntu focal-security/universe i386 Packages
     release v=20.04,o=Ubuntu,a=focal-security,n=focal,l=Ubuntu,c=universe,b=i386
     origin ftp.nluug.nl
 500 http://ftp.nluug.nl/os/Linux/distr/ubuntu focal-security/universe amd64 Packages
     release v=20.04,o=Ubuntu,a=focal-security,n=focal,l=Ubuntu,c=universe,b=amd64
     origin ftp.nluug.nl
 500 http://ftp.nluug.nl/os/Linux/distr/ubuntu focal-security/restricted i386 Packages
     release v=20.04,o=Ubuntu,a=focal-security,n=focal,l=Ubuntu,c=restricted,b=i386
     origin ftp.nluug.nl
 500 http://ftp.nluug.nl/os/Linux/distr/ubuntu focal-security/restricted amd64 Packages
     release v=20.04,o=Ubuntu,a=focal-security,n=focal,l=Ubuntu,c=restricted,b=amd64
     origin ftp.nluug.nl
 500 http://ftp.nluug.nl/os/Linux/distr/ubuntu focal-security/main i386 Packages
     release v=20.04,o=Ubuntu,a=focal-security,n=focal,l=Ubuntu,c=main,b=i386
     origin ftp.nluug.nl
 500 http://ftp.nluug.nl/os/Linux/distr/ubuntu focal-security/main amd64 Packages
     release v=20.04,o=Ubuntu,a=focal-security,n=focal,l=Ubuntu,c=main,b=amd64
     origin ftp.nluug.nl
 500 http://ftp.nluug.nl/os/Linux/distr/ubuntu focal/multiverse i386 Packages
     release v=20.04,o=Ubuntu,a=focal,n=focal,l=Ubuntu,c=multiverse,b=i386
     origin ftp.nluug.nl
 500 http://ftp.nluug.nl/os/Linux/distr/ubuntu focal/multiverse amd64 Packages
     release v=20.04,o=Ubuntu,a=focal,n=focal,l=Ubuntu,c=multiverse,b=amd64
     origin ftp.nluug.nl
 500 http://ftp.nluug.nl/os/Linux/distr/ubuntu focal/universe i386 Packages
     release v=20.04,o=Ubuntu,a=focal,n=focal,l=Ubuntu,c=universe,b=i386
     origin ftp.nluug.nl
 500 http://ftp.nluug.nl/os/Linux/distr/ubuntu focal/universe amd64 Packages
     release v=20.04,o=Ubuntu,a=focal,n=focal,l=Ubuntu,c=universe,b=amd64
     origin ftp.nluug.nl
 500 http://ftp.nluug.nl/os/Linux/distr/ubuntu focal/restricted i386 Packages
     release v=20.04,o=Ubuntu,a=focal,n=focal,l=Ubuntu,c=restricted,b=i386
     origin ftp.nluug.nl
 500 http://ftp.nluug.nl/os/Linux/distr/ubuntu focal/restricted amd64 Packages
     release v=20.04,o=Ubuntu,a=focal,n=focal,l=Ubuntu,c=restricted,b=amd64
     origin ftp.nluug.nl
 500 http://ftp.nluug.nl/os/Linux/distr/ubuntu focal/main i386 Packages
     release v=20.04,o=Ubuntu,a=focal,n=focal,l=Ubuntu,c=main,b=i386
     origin ftp.nluug.nl
 500 http://ftp.nluug.nl/os/Linux/distr/ubuntu focal/main amd64 Packages
     release v=20.04,o=Ubuntu,a=focal,n=focal,l=Ubuntu,c=main,b=amd64
     origin ftp.nluug.nl
Vastgepinde pakketten:
henk@henk-HP-Elite:~$



[Bloom]

Ik bedoelde natuurlijk dat je de pakketnaam er nog aan moest toevoegen, dus:

Code: [Selecteer]

apt policy liblog4j2-java


[partyrabbit]

Sorry PartyRabbit, dat is niet helemaal correct. Vrijwel elk Java programma gebruikt die module. Dus als je b.v. Minecraft speelt op je computer dan ben je ook kwetsbaar. Het heeft dus niets met de Apache webserver te maken.

Ik ben zowiezo geen voorstander van javascript en java, zoals je hier ook al kunt lezen. Deze zijn altijd al kwetsbaar gebleken, en dienen alleen maar voor 'rommel' software waar ik toch niets van hoef (advertenties en zo).
En javascript is niet zo hard nodig. De betere websitebouwer (zoals banken) gebruikt dan ook geen javascript voor een goed werkende website.

En de log4j draait wel voor javascript (logging) maar nog steeds op de server, want is framework software, en er draait niets van bij de gewone reguliere OS gebruiker.
Deze dus...

Zorgen maken is zeker relevant als je een server draait met java die " een rechtstreeks " verbinding maakt met het Internet.

Ja, natuurlijk, als jij op ongeacht welke onveilige website inlogt worden óók jouw gegevens gehackt. Maar dat gebeurd dan buiten jouw macht en de oorzaak ligt niet bij jou of je OS, of enige vermeende 'onveiligheid' daarvan.

Dus blijf ik bij wat ik zeg. Niet relevant voor ons als gewone linux gebruiker. Wel voor degenen die een server draaien.

[HWE64]

Ik bedoelde natuurlijk dat je de pakketnaam er nog aan moest toevoegen, dus:

Code: [Selecteer]

apt policy liblog4j2-java


@Bloom, excuseer mijn onwetendheid. Bedankt.

Code: [Selecteer]

henk@henk-HP-Elite:~$ apt policy liblog4j2-java
liblog4j2-java:
  Geïnstalleerd: (geen)
  Kandidaat:     2.11.2-1
  Versietabel:
     2.11.2-1 500
        500 http://ftp.nluug.nl/os/Linux/distr/ubuntu focal/universe amd64 Packages
        500 http://ftp.nluug.nl/os/Linux/distr/ubuntu focal/universe i386 Packages
henk@henk-HP-Elite:~$


[partyrabbit]

Misschien een controle tip?

Ik heb net een deep search gedaan en op mijn pc bevindt zich nergens log4j. Ook niet in configuratie-bestanden. Geheel niet aanwezig.

En dat apt policy liblog4j2-java commando geeft ook:

Code: [Selecteer]

:~$ apt policy liblog4j2-java
liblog4j2-java:
  Geïnstalleerd: (geen)

[vorsprungdurchbetrug]

Dit komt er bij uit;
rene@rene-HP-EliteBook-850-G1:~$ Elitebook
Elitebook: opdracht niet gevonden
rene@rene-HP-EliteBook-850-G1:~$ apt version liblog4j2-java

rene@rene-HP-EliteBook-850-G1:~$ apt list --installed | grep log4j

WARNING: apt does not have a stable CLI interface. Use with caution in scripts.

rene@rene-HP-EliteBook-850-G1:~$

Kan iemand mij hierover adviseren, wat k moet doen?

[HWE64]

Dit komt er bij uit;
rene@rene-HP-EliteBook-850-G1:~$ Elitebook
Elitebook: opdracht niet gevonden
rene@rene-HP-EliteBook-850-G1:~$ apt version liblog4j2-java

rene@rene-HP-EliteBook-850-G1:~$ apt list --installed | grep log4j

WARNING: apt does not have a stable CLI interface. Use with caution in scripts.

rene@rene-HP-EliteBook-850-G1:~$

Kan iemand mij hierover adviseren, wat k moet doen?

Probeer deze van Bloom eens. Die werkt wel in Xubuntu. zie #15

Code: [Selecteer]

apt policy liblog4j2-java


[vorsprungdurchbetrug]

Dit komt er bij uit;
rene@rene-HP-EliteBook-850-G1:~$ Elitebook
Elitebook: opdracht niet gevonden
rene@rene-HP-EliteBook-850-G1:~$ apt version liblog4j2-java

rene@rene-HP-EliteBook-850-G1:~$ apt list --installed | grep log4j

WARNING: apt does not have a stable CLI interface. Use with caution in scripts.

rene@rene-HP-EliteBook-850-G1:~$

Kan iemand mij hierover adviseren, wat k moet doen?

Probeer deze van Bloom eens. Die werkt wel in Xubuntu.

Code: [Selecteer]

apt policy liblog4j2-java


Ik was te enthousiast,
ik was in Linux mint bezig, en heb daar de in de terminal $ apt version liblog4j2-java  ingevoerd.

[HWE64]

$ teken in je commando weghalen want dit staat al standaard in de terminal. Met apt beginnen.

[vorsprungdurchbetrug]

$ teken in je commando weghalen want dit staat al standaard in de terminal. Met apt beginnen.

Nu in Ubuntu

rene@ThinkPad-Edge-E530:~$ apt list --installed | grep log4j

WARNING: apt does not have a stable CLI interface. Use with caution in scripts.

[HWE64]

Doe deze eens.

Code: [Selecteer]

apt policy liblog4j2-java
Werkt ook in Mint

Code: [Selecteer]

henk@henk-N7:~$ apt policy liblog4j2-java
liblog4j2-java:
  Geïnstalleerd: (geen)
  Kandidaat:     2.15.0-0.20.04.1
  Versietabel:
     2.15.0-0.20.04.1 500
        500 http://security.ubuntu.com/ubuntu focal-security/universe amd64 Packages
        500 http://security.ubuntu.com/ubuntu focal-security/universe i386 Packages
     2.11.2-1 500
        500 http://ftp.nluug.nl/os/Linux/distr/ubuntu focal/universe amd64 Packages
        500 http://ftp.nluug.nl/os/Linux/distr/ubuntu focal/universe i386 Packages
henk@henk-N7:~$