Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Log4j controleren in Ubuntu

19-12-2021, 22:37 door Anoniem, 6 reacties

Canonical heeft een Terminal command op de website geplaatst om alle aanwezige fixes in het Linux Ubuntu systeem door te voeren en te controleren of je systeem al veilig is.

Start Ubuntu op en typ in de Terminal applicatie de volgende commando's in.

$ sudo ua fix CVE-2021-44228
$ sudo ua fix CVE-2021-45046

Na het commando "sudo" moet je je wachtwoord ingeven.

Als er geen kwetsbaar apache-log4j pakket is geïnstalleerd, dan krijg je de volgende melding te zien:

CVE-2021-44228: Apache Log4j 2 vulnerability
https://ubuntu.com/security/CVE-2021-44228
No affected packages are installed.
v CVE-2021-44228 does not affect your system.

Bij het tweede CVE-nummer (45046) zie je de volgende tekst als er geen kwetsbaar pakket is geïnstalleerd:

CVE-2021-45046: Apache Log4j 2 vulnerability
http://ubuntu.com/security/CVE-2021-45046
No affected packages are installed.
v CVE-2021-45046 does not affect your system.

Meer info vindt men op de website van Canonical:
https://ubuntu.com/blog/log4j-vulnerability-2021

Upgraded to log4j 2.16? Surprise, there's a 2.17.

Tips voor security websites?

Reacties (6)

20-12-2021, 11:21 door Ron625

Dan ben ik veilig, bedankt voor de info.

20-12-2021, 11:34 door Anoniem

Ik zou wel graag willen weten hoe het met de andere distro's gaat op dit punt.
Wie meer info heeft, graag een reactie op dit forum.

20-12-2021, 13:00 door Anoniem

En vergeet niet "sudo ua fix CVE-2021-45105" :)

20-12-2021, 13:15 door Anoniem

Door Ron625: Dan ben ik veilig, bedankt voor de info.

Kan iemand vertellen of dit command meer doet dan enkel de versie van het apache-log4j vergelijken?

Als dat namelijk alles is wat het doet, dan ben je niet per se veilig wanneer dit command positief terug komt:
log4j is namelijk een java classe die erg vaak meeverpakt wordt met java applicaties. In veel gevallen heb je dus niet het ubuntu pakket zelf nodig om kwetsbaar te zijn.

Een scanner zoals https://github.com/fox-it/log4j-finder levert al een veel betrouwbaarder resultaat, hoewel ook deze niet in 100% van de gevallen triggerd.

20-12-2021, 14:44 door Anoniem

Door Anoniem: En vergeet niet "sudo ua fix CVE-2021-45105" :)

Kun je een link geven op de site van Canonical? Als ik die gemist heb, dan graag een reactie.

21-12-2021, 01:55 door Anoniem

Dit is helaas niet afdoende en ik raad ten zeerste af deze methode te gebruiken als je verantwoordelijk bent voor andermans data. Repository checks zijn handig voor als je nooit iets customs hebt geinstalleerd maar zo vendor check beperkt zich tot hun eigen lijst. Canonical geeft dit zelf ook aan

The widespread use of the Apache Log4j 2 package, as well as the Java platform’s packaging conventions, have made addressing that vulnerability (by the security industry as a whole) non-trivial. The reason is that this software is not only present in Ubuntu as a packaged component, but separate copies of this software are also often bundled directly in popular applications. In particular, the latter is what makes the task of determining whether a particular application or system is vulnerable quite difficult.

Teams have to examine each application individually to find whether applications are vulnerable by “unbundling” them, or by using software bills of materials and manifests. Just updating the Ubuntu packaged version of this software component is likely not sufficient to ensure that all applications which use Apache Log4j 2 are remediated.

https://gist.github.com/Neo23x0/e4c8b03ff8cdf1fa63b7d15db6e3860b
Hier staan regular expressions voor exploitatie detectie CVE-2021-44228.

Let op exploitatie detectie wil niet zeggen dat enige poging gelukt is maar je moet wel alle entries reviewen om zelf tot een conclusie te daarin te komen. Cross check middels netwerklogs

Verder naar onder zie je detectie methode van nog aanwezige log4j componenten middels ps aux, find, lsof, grep
Kom je enige entry tegen dan zul je moeten kijken wie de vendor is en of het een kritiek onderdeel is van je infra.

Er zijn ook tig scanners nu op de markt maar om nu betrouwbaarheid van die tools te moeten gaan testen of blind gebruiken is ook hartstikke onverstandig .Beperk je tot de lijst van bekende firma's tenzij je tijd hebt voor een volle software analyse.
https://github.com/NCSC-NL/log4shell/blob/main/scanning/README.md

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Pick one:

Advertentie

Specialiseer je in Forensisch ICT

Online informatieavond 19 november

Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:

Bachelor Informatica Forensisch ICT (deeltijd)
Master Digital Forensics (vol- en deeltijd)
Module Mobile Forensics
Module Data Analytics

Interesse? Meld je aan!

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

31 reacties

Lees meer