Moin!
Ich bin eben über folgenden Artikel gestolpert:
https://www.lunasec.io/docs/blog/log4j-zero-day/
TL;DR: Wenn man log4j2 benutzt, und irgendwelche Sachen loggt, die ein
potentieller Angreifer gesendet hat, dann sollte man dringend auf
Version 2.15.0 updaten oder eine der angegebenen Mitigations anwenden.
Das könnte einen signifikanten Anteil aller in Java geschriebener
Server-Software betreffen.
Grüße,
Jan
Hallo zusammen,
sofern nicht selber schon gesehen/-lesen hier [0] FYI
„Gefährliche Lücken in Server-Backupsoftware IBM Spectrum Protect geschlossen“
--> wer hier also die IBM Backup- und Archivsoftware einsetzt …
VG
Thomas
[0] https://www.heise.de/news/Gefaehrliche-Luecken-in-Server-Backup-Loesung-IBM…
--
Fachschaft I/1 Mathematik/Physik/Informatik der RWTH Aachen
Thomas Schneider
Campus Mitte: Augustinerbach 2a, 52062 Aachen
Telefon: +49 241 80 94506
Informatikzentrum: Ahornstraße 55, Raum 2014, 52074 Aachen
Telefon: +49 241 80 26741
https://www.fsmpi.rwth-aachen.de
Hallo zusammen,
"servicedesk(a)itc.rwth-aachen.de" <servicedesk(a)itc.rwth-aachen.de>
writes:
> Aus diesem Grund wurden folgende Systeme bis auf weiteres vorsorglich
> gesperrt:
>
> Gitlab
soweit mir bekannt, ist GitLab in Ruby (und zwar ohne JRuby), Go, und
Javascript geschrieben. Wo soll denn da log4j versteckt sein?
Viele Grüße,
Thomas
--
Fachschaft I/1 Mathematik/Physik/Informatik der RWTH Aachen
Thomas Schneider
Campus Mitte: Augustinerbach 2a, 52062 Aachen
Telefon: +49 241 80 94506
Informatikzentrum: Ahornstraße 55, Raum 2014, 52074 Aachen
Telefon: +49 241 80 26741
https://www.fsmpi.rwth-aachen.de
Liebe Kolleginnen und Kollegen,
das IT Center hat sich entschieden, weitere Services aufgrund der
Bedrohung durch die als "log4shell" bekanntgewordene Schwachstelle
abzuschalten. Details zu den Abschaltungen gibt es auf den üblichen
Kanälen des IT Centers.
Ich nehme das zum Anlass, hier nochmal auf die Bedrohung durch die
Bibliothek log4j hinzuweisen. Das Bundesamt für Sicherheit in der
Informationstechnik hat die Schwachstelle am Samstag auf die Warnstufe
"rot" hochgestuft [1].
Wir fordern daher die Admins und IT Verantwortlichen in der RWTH auf,
sich zu überlegen, welche ihrer Syteme verwundbar sein könnten, falls
vorhanden, Updates einzuspielen und im Zweifel zu überlegen, ob die
Systeme vom Netz zu trennen sind.
Mit besten Grüßen,
Guido Bunsen
[1]
https://www.bsi.bund.de/DE/Service-Navi/Presse/Pressemitteilungen/Presse202…
--
Dipl.-Inform. Guido Bunsen
IT-Manager Security
IT Center
RWTH Aachen University
Seffenter Weg 23
52074 Aachen
Tel: +49 241 80-24882
bunsen(a)itc.rwth-aachen.de
www.itc.rwth-aachen.de
Social Media Kanäle des IT Centers:
https://blog.rwth-aachen.de/itc/https://www.facebook.com/itcenterrwthhttps://www.linkedin.com/company/itcenterrwthhttps://www.youtube.com/results?search_query=it+center+rwth