Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Log4j controleren in Ubuntu

19-12-2021, 22:37 door Anoniem, 6 reacties
Canonical heeft een Terminal command op de website geplaatst om alle aanwezige fixes in het Linux Ubuntu systeem door te voeren en te controleren of je systeem al veilig is.

Start Ubuntu op en typ in de Terminal applicatie de volgende commando's in.

$ sudo ua fix CVE-2021-44228
$ sudo ua fix CVE-2021-45046

Na het commando "sudo" moet je je wachtwoord ingeven.

Als er geen kwetsbaar apache-log4j pakket is geïnstalleerd, dan krijg je de volgende melding te zien:

CVE-2021-44228: Apache Log4j 2 vulnerability
https://ubuntu.com/security/CVE-2021-44228
No affected packages are installed.
v CVE-2021-44228 does not affect your system.

Bij het tweede CVE-nummer (45046) zie je de volgende tekst als er geen kwetsbaar pakket is geïnstalleerd:

CVE-2021-45046: Apache Log4j 2 vulnerability
http://ubuntu.com/security/CVE-2021-45046
No affected packages are installed.
v CVE-2021-45046 does not affect your system.

Meer info vindt men op de website van Canonical:
https://ubuntu.com/blog/log4j-vulnerability-2021
Reacties (6)
20-12-2021, 11:21 door Ron625
Dan ben ik veilig, bedankt voor de info.
20-12-2021, 11:34 door Anoniem
Ik zou wel graag willen weten hoe het met de andere distro's gaat op dit punt.
Wie meer info heeft, graag een reactie op dit forum.
20-12-2021, 13:00 door Anoniem
En vergeet niet "sudo ua fix CVE-2021-45105" :)
20-12-2021, 13:15 door Anoniem
Door Ron625: Dan ben ik veilig, bedankt voor de info.

Kan iemand vertellen of dit command meer doet dan enkel de versie van het apache-log4j vergelijken?

Als dat namelijk alles is wat het doet, dan ben je niet per se veilig wanneer dit command positief terug komt:
log4j is namelijk een java classe die erg vaak meeverpakt wordt met java applicaties. In veel gevallen heb je dus niet het ubuntu pakket zelf nodig om kwetsbaar te zijn.

Een scanner zoals https://github.com/fox-it/log4j-finder levert al een veel betrouwbaarder resultaat, hoewel ook deze niet in 100% van de gevallen triggerd.
20-12-2021, 14:44 door Anoniem
Door Anoniem: En vergeet niet "sudo ua fix CVE-2021-45105" :)
Kun je een link geven op de site van Canonical? Als ik die gemist heb, dan graag een reactie.
21-12-2021, 01:55 door Anoniem
Dit is helaas niet afdoende en ik raad ten zeerste af deze methode te gebruiken als je verantwoordelijk bent voor andermans data. Repository checks zijn handig voor als je nooit iets customs hebt geinstalleerd maar zo vendor check beperkt zich tot hun eigen lijst. Canonical geeft dit zelf ook aan

The widespread use of the Apache Log4j 2 package, as well as the Java platform’s packaging conventions, have made addressing that vulnerability (by the security industry as a whole) non-trivial. The reason is that this software is not only present in Ubuntu as a packaged component, but separate copies of this software are also often bundled directly in popular applications. In particular, the latter is what makes the task of determining whether a particular application or system is vulnerable quite difficult.

Teams have to examine each application individually to find whether applications are vulnerable by “unbundling” them, or by using software bills of materials and manifests. Just updating the Ubuntu packaged version of this software component is likely not sufficient to ensure that all applications which use Apache Log4j 2 are remediated.

https://gist.github.com/Neo23x0/e4c8b03ff8cdf1fa63b7d15db6e3860b
Hier staan regular expressions voor exploitatie detectie CVE-2021-44228.

Let op exploitatie detectie wil niet zeggen dat enige poging gelukt is maar je moet wel alle entries reviewen om zelf tot een conclusie te daarin te komen. Cross check middels netwerklogs

Verder naar onder zie je detectie methode van nog aanwezige log4j componenten middels ps aux, find, lsof, grep
Kom je enige entry tegen dan zul je moeten kijken wie de vendor is en of het een kritiek onderdeel is van je infra.

Er zijn ook tig scanners nu op de markt maar om nu betrouwbaarheid van die tools te moeten gaan testen of blind gebruiken is ook hartstikke onverstandig .Beperk je tot de lijst van bekende firma's tenzij je tijd hebt voor een volle software analyse.
https://github.com/NCSC-NL/log4shell/blob/main/scanning/README.md
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search