Diese kurze Anleitung zeigt, wie Sie prüfen können, ob Log4j auf Ihrem Server läuft.
Beachten Sie bitte, dass die Log4j Sicherheitslücke gravierende Folgen auf Ihr System haben kann. Angreifer können durch das eingeben eines bestimmten Strings in einer Login Form Zugang zu Ihrem System erlangen und unter Anderem Dateien modifizieren, den Rechner mit Schadsoftware infizieren oder sogar Remote Code Execution bis hin zur kompletten Übernahme des Systems erlangen.
LDAP via Firewall ausschalten (Wenn möglich)
Grundsätzlich sollte ein gut eingerichteter Server nur die Dienste durch die Firewall zulassen, die auch wirklich benötigt werden. Ich gehe jetzt mal davon aus, dass Sie wissen, was Ihr System hat und braucht um für die Nutzer den Dienst bereitzustellen.
Die Sicherheitslücke wird über LDAP durchgeführt. Das bedeutet, man sollte dringend die Firewall einschalten und LDAP blacklisten, wenn man es nicht benötigt. Wer Ubuntu nutzt, kann einfach mit UFW arbeiten:
ufw deny ldap
Dadurch wird ldap durch die Firewall blockiert und man kann keine ldap Abfragen mehr ausführen. Somit ist zwar die Sicherheitslücke möglich zu nutzen, ldap kann aber nicht mit dem „Bösen“ Server reden und den Befehl holen.
Mit grep prüfen, ob Log4j irgendwo installiert ist
Nutzen Sie diesen Befehl, um zu prüfen ob Log4j eingesetzt wird:
grep -i log4j und pgrep -fa log4j
Dadurch können Sie im Dateisystem suchen, ob es irgendwo log4j Klassen gibt.
Mit dem Installieren von „mlocate“ können Sie ein weiteres Suchtool nutzen:
apt install mlocate
//Wenn noch nicht indexiert, einmal diesen Befehl vor "locate" eingeben:
updatedb
//Dadurch wird das System indexiert
locate log4j
Sollten Sie nichts gefunden haben, sind keine Dateien von log4j zu finden. Dies bedeutet aber nicht, dass log4j nicht irgendwo trotzdem läuft.
Apache Module prüfen (Falls vorhanden)
Mit diesem Befehl prüfen Sie, welche Apache Module auf Ihrem Webserver am laufen haben:
apache2ctl -M | sort
Sollte dort ähnliches wie log4j_module stehen, dringend das Modul deaktivieren, bis es ein Update gibt
Prüfen, welche Dienste betroffen sind
Leider gibt es noch keine offizielle Liste, aber der Benutzer SwitHak hat auf Github eine Liste veröffentlicht, welche Dienste als „Unsicher“ bestätigt wurden. Unter Anderem ist dort Apache Solr, Akamai, und viele andere betroffen.
https://gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592
Meine Empfehlung
Da diese Sicherheitslücke (Hier nochmal zu sehen) noch relativ frisch ist, kann es unter Umständen sein, dass es noch kein Patch für einzelne Module/Programme gibt. Deaktivieren oder entfernen Sie diese dringend, solange Sie keine Möglichkeit haben, ein Update zu erhalten.
Führen Sie dringend in allen Systemen Updates durch – nicht nur auf Linux, sondern auch auf Windows und Mac!
sudo apt update && sudo apt upgrade