Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Ubuntu 16.04 ESM kwetsbaar in Log4j

17-12-2021, 16:22 door Anoniem, 18 reacties

Bezitters van deze distro moeten hun software updaten.
https://ubuntu.com/security/notices/USN-5192-2

Voor de mensen van het NCSC, graag deze entry toevoegen op GitHub.
Met dank.

Tips voor security websites?

Log4j in programma's

Reacties (18)

17-12-2021, 17:01 door Anoniem

Dit zal vast niet "deze distro" betreffen maar een of enkele pakketten eruit, die wellicht lang niet iedereen installeert.

17-12-2021, 17:18 door Anoniem

Niet alleen in Ubuntu 16.04 ESM. Ook de andere versies waren kwetsbaar en zijn inmiddels van een patch voorzien.

Hieronder de lijst:
https://ubuntu.com/security/notices?order=newest&release=&details=Log4j

17-12-2021, 17:30 door Anoniem

Eerste is onzin en tweede zinloos. NCSC kijkt hier niet.

17-12-2021, 18:11 door gradje71

Bereid je maar voor.

17-12-2021, 19:34 door Anoniem

Door Anoniem: Voor de mensen van het NCSC, graag deze entry toevoegen op GitHub.

Maak je even een pull request op https://github.com/NCSC-NL/log4shell/blob/main/software/README.md de plek om dit soort dingen momenteel te melden? Dan is iedereen je weer dankbaar.

17-12-2021, 19:39 door Anoniem

Ik weet het niet hoor, maar we zitten inmiddels al op 20.04.
Of is er al een nieuwere LTS uitgave.
Binnenkort komt er weer een nieuwe LTS versie aan, volgens mij.
Blijkbaar zijn er dus nog mensen die met 16.04 draaien.
Maar ik sluit bij deze niet uit dat er nog mensen met Windows ME, Vista of millennium draaien.
Alles is mogelijk.

17-12-2021, 20:04 door Anoniem

Ubuntu.com heeft op 17 december voor Ubuntu 16.04 ESM een patch voor Log4j uitgebracht.

https://ubuntu.com/security/notices/USN-5192-2

Debian.org had de apache-log4j2 security update v2.15.0 reeds op 11 december uitgebracht.

https://www.debian.org/security/2021/dsa-5020

18-12-2021, 01:12 door Anoniem

Door Anoniem: Eerste is onzin en tweede zinloos. NCSC kijkt hier niet.

Ze hebben mij verzekerd van wel. Dus wat jij zegt is onzin en zinloos.

18-12-2021, 12:53 door Anoniem

Door Anoniem: Niet alleen in Ubuntu 16.04 ESM. Ook de andere versies waren kwetsbaar en zijn inmiddels van een patch voorzien.

Hieronder de lijst:
https://ubuntu.com/security/notices?order=newest&release=&details=Log4j

Ubuntu was niet kwetsbaar. Gaat alleen om het log4j pakket als je die hebt geïnstalleerd uit een repo voor een enterprise applicatie! Ubuntu heeft heel erg veel software via repo's beschikbaar gemaakt (vanlog4j tot Microsoft dotnet ): https://itsfoss.com/ubuntu-repositories/

19-12-2021, 22:40 door Anoniem

Door Anoniem: Ik weet het niet hoor, maar we zitten inmiddels al op 20.04.
Of is er al een nieuwere LTS uitgave.
Binnenkort komt er weer een nieuwe LTS versie aan, volgens mij.
Blijkbaar zijn er dus nog mensen die met 16.04 draaien.
Maar ik sluit bij deze niet uit dat er nog mensen met Windows ME, Vista of millennium draaien.
Alles is mogelijk.

Wat je zegt is niet correct. De nieuwste versie is inmiddels 21.10.
Er zijn genoeg klanten die een ouder OS draaien. Vandaar de topic start.

20-12-2021, 09:54 door Anoniem

Door Anoniem:

Wat je zegt is niet correct. De nieuwste versie is inmiddels 21.10.
Er zijn genoeg klanten die een ouder OS draaien. Vandaar de topic start.

Versie 21.10 is geen LTS uitgave maar een tussen uitgave,
De LTS versie is nog steeds 20.04
De derde update is 20.04.3

20-12-2021, 11:13 door Anoniem

@ Gisteren, 22:40 door Anoniem,

Bekijk dit even.
En kijk de versies daar even na.
De LTS uitgave is nog steeds 20.04

https://ubuntu.com/download/desktop

20-12-2021, 11:18 door Ron625

Door Anoniem:

Door Anoniem: Ik weet het niet hoor, maar we zitten inmiddels al op 20.04.
Of is er al een nieuwere LTS uitgave.
Binnenkort komt er weer een nieuwe LTS versie aan, volgens mij.

Wat je zegt is niet correct. De nieuwste versie is inmiddels 21.10.

De nieuwste LTS versie is 20.04 van april 2020.
De komende LTS versie is 22.04 van april 2022.
Ubuntu komt iedere 6 maanden met een tussen versie en iedere 24 maanden met een LTS vesie.
LTS = Long Time Support.

20-12-2021, 11:42 door Anoniem

Door Ron625:

Door Anoniem:

Door Anoniem: Ik weet het niet hoor, maar we zitten inmiddels al op 20.04.
Of is er al een nieuwere LTS uitgave.
Binnenkort komt er weer een nieuwe LTS versie aan, volgens mij.

Wat je zegt is niet correct. De nieuwste versie is inmiddels 21.10.

Oh, er zal ook al een versie 2023 in de maak zijn. Maar daar gaat het helemaal niet om. Het gaat om de versies die nu zijn vrijgegeven en downloadbaar zijn. Daar had ik het over.

20-12-2021, 13:19 door Anoniem

Doe een pull request of meld het aan Ubuntu. Dit is zinloos.

21-12-2021, 09:50 door Ron625

Door Anoniem:
Oh, er zal ook al een versie 2023 in de maak zijn. Maar daar gaat het helemaal niet om. Het gaat om de versies die nu zijn vrijgegeven en downloadbaar zijn. Daar had ik het over.

In 2023 komt er dus GEEN LTS versie, want die komen om de 24 maanden.
De versie van april 2022 (22.04) is te downloaden als daily-build, die gebruik ik al 2 maanden........

21-12-2021, 18:34 door Anoniem

log4j is eigenlijk java en ook door gebruikers worden gedeployed in .war dus wel na te kijken.
Dus ook voor iedereen die angular gebruikt maar niet weten dat het op de achtergrond gebruikt wordt.
Voor mensen die het niet weten die niet bruikbare sites, te snel in elkaar geklust. En zonder grondige analyses en dit word dan gebruikers door hun strot word geduwt na dat ze elke expertise hebben buitengesmeten.

21-12-2021, 20:23 door Anoniem

Door Anoniem: log4j is eigenlijk java en ook door gebruikers worden gedeployed in .war dus wel na te kijken.
Dus ook voor iedereen die angular gebruikt maar niet weten dat het op de achtergrond gebruikt wordt.
Voor mensen die het niet weten die niet bruikbare sites, te snel in elkaar geklust. En zonder grondige analyses en dit word dan gebruikers door hun strot word geduwt na dat ze elke expertise hebben buitengesmeten.

Leuk, dat veroordelen met de kennis van nu!

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Vacature

Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime

Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!

Lees meer

Rijksoverheid moet onmiddellijk stoppen met Facebook na advies AP:

Vacature

Digital Designer

Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.

Lees meer

Vacature

Cyber Security Trainer

"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”

Are you ready for a challenge?

Lees meer

Vacature

Senior Full Stack Developer

Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.

Lees meer

Security.NL - X

10-01-2024 door Redactie

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons ook op X!

Lees meer

Ubuntu 16.04 ESM kwetsbaar in Log4j

Rijksoverheid moet onmiddellijk stoppen met Facebook na advies AP:

Wachtwoord Vergeten

Password Reset

Registreren