Dicke Frage zu log4j Sicherheitslücke und Apache Web Server

bsd4me

Well-Known Member
Hallo,

vielleicht kann mir hier jemand einen Tipp geben. Ich habe eine Web Anwendung geschrieben, die bisher funktioniert hat. Um sie zu starten werden bis zu 2 Dateien hochgeladen, jeweils bis max 1.2 GB Groesse. Sie läuft innerhalb der Uni perfekt - nur von aussen wird man irgendwann von der Uni gesperrt (das ist so unter OsX und FreeBSD clients) und mit folgender Fehlermeldung (die habe ich von einem Admin zugeschickt bekommen):

HTTP_CRL-Log4j-Denial-of-Service-CVE-2021-45105
An uncontrolled recursion vulnerability has been reported in the StrSubstitutor class of Apache Log4j. This vulnerability is due to improper handling of logged messages when the logging configuration uses a non-default Pattern Layout with a Context Map Lookup, Map Lookup, or Structured Data Lookup. A remote attacker who can control an item in the Thread Context Map or a MapMessage or StructuredDataMessage can exploit this vulnerability by sending a specially crafted parameter to the target application. Successful exploitation could result in a denial-of-service condition due to a crash of the Log4j service. The message lookup pattern detection also applies to CVE-2021-45046.

Auf dem Webserver ist kein log4j installiert, und auch kein Java Interpreter. Der Webserver läuft in einer Jail. Es läuft die Apache Version apache24-2.4.46 mit mod perl. Auch bei mir zu Hause auf dem Client nix mit log4j. Ich nutze eine Fritzbox, die ich beim upload neu booten muss, um eine neue IP und Zugriff auf die Uni wieder zu bekommen.

Ich hoffe, ich konnte es einigermassen gut erklären - ich habe keine Idee mehr, warum das von extern nicht klappt - auch ander Uni scheint da erstmal ende zu sein...

Vielen Dank Euch!! VG Norbert
 
und mit folgender Fehlermeldung (die habe ich von einem Admin zugeschickt bekommen)
Mal kurz zur Verständnisfrage. Wo kommt die Meldung eigentlich genau her?
Also ich nehme mal an, nicht vom Webserver selbst. Und dann stellt sich halt die Frage, welches System hat die Meldung ausgeworfen und warum?

Ich hoffe, ich konnte es einigermassen gut erklären - ich habe keine Idee mehr, warum das von extern nicht klappt - auch ander Uni scheint da erstmal ende zu sein...
Meine ins Blaue geschossene Vermutung wäre ja, die haben an der Uni irgendwie eine Firewall am laufen und die analysiert den Netzwerktraffic und die ist (aus welchen Gründen auch immer) der Meinung, Dein Webserver ist von der log4j-Lücke betroffen und sperrt deshalb den Webserver aus.
 
Danke Dir! Nein, die Meldung wird nicht vom Webserver produziert - es läuft da ja kein log4j noch kann irgendeine Java Anwednung laufen, da kein Java installiert ist...
 
es läuft da ja kein log4j noch kann irgendeine Java Anwednung laufen, da kein Java installiert ist...
Genau. Deshalb ist so meine Vermutung der Uni-Admin hat einfach eine Meldung von "seiner" Firewall bekommen und die einfach stumpf an Dich weiter geschickt.
Da Du offenbar nicht betroffen bist, wäre das ein False-Positive.

Je nachdem wie die bei euch so drauf sind, musst Du den Admin davon überzeugen das Dein Server gar nicht betroffen ist und er muss sich dann auch noch die Mühe machen und Willens sein die Entscheidung der Firewall zu "overrulen" (sofern die Firewall die Option anbietet, wovon ich jetzt aber mal ausgehe).
Kann gut sein, das der aber sagt, das er das nicht macht weil er ggf. seinen Kopf dafür hinhalten muss, wenn etwas schief geht.
 
Vielleicht auch einmal nett fragen ob nicht im Log der Firewall steht, was genau getriggert hat. Wahrscheinlich der Inhalt irgendeines HTTP-Headers. Wenn man das weiß, kann man drum herum werkeln, indem man den Inhalt wenn möglich leicht verändert.
 
Wenn es jemanden interessiert: Noch ist der Grund für die Fehlermeldung nicht gefunden - es ist halt nur temporär das ganze für den Server deaktiviert worden. Ich habe kein Log4J installiert und Java gibt es auf dem Server auch nicht. 2 Testprogramme zum Prüfen der Log4J Problems haben nichts gefunden. Die Uni und ich werden nächste Woche weitere Schritte machen, um das zu klären :-)
 
Hallo,

mich würde da interessieren, ob die Kommunikation mit dem Server (auch der Upload der Dateien) über eine verschlüsselte Verbindung erfolgt.

Rob
 
Dann würde ich annehmen, dass dort einfach in den Datenverkehr geschaut wird und eine Zeichenkette wie z.B. "jndi:" diese Sperre veranlasst.
Mit einer verschlüsselten Verbindung wäre dies nicht möglich.

Rob
 
mhmmm... Wenn ich die Daten am Ende mir anschaue, dann ist da nichts davon zu finden. Wenn natürlich die Firewall zuschlägt, bekomme ich das ja auch nicht mit...
 
The message lookup pattern detection also applies to CVE-2021-45046.

Das ist interessant. Am schnellsten kommst du zum Ziel wenn ein Admin so freundlich wäre mal da genau nachzuschauen was dieses Pattern genau macht. Im dümmsten Fall prüft das nur ob ein da Apache Webserver läuft und nicht ob da ein Log4J dabei ist.
 
Jau! ist auch vor ein paar Tagen geschehen. Die an der Uni hier sind nette Menschen - und ich kenne viele. Herausgestellt hat sich, dass der Firewall Hersteller eine Nachbesserung machen musste - nun geht es wieder... Tja, hat ein bisschen gedauert - aber es lag nicht an meiner Seite :-)
VG Norbert
 
Zurück
Oben