Hallo @SteveG ,
wie am 9. Dezember 2021 auf GitHub bekannt gegeben und als CVE-2021-44228 mit dem höchsten Schweregrad von 10 eingestuft wurde, besteht eine Sicherheitslücke in Log4j.
Ist Matomo von dieser Sicherheitslücke betroffen?
Wenn ja, hätten Sie Handlungsempfehlungen?
Hier noch mehr Infos dazu:
Log4j ist eine Open-Source-Java-Protokollierungsbibliothek, die in einer Reihe von Softwareanwendungen und -diensten auf der ganzen Welt weit verbreitet ist. Die Schwachstelle kann Hackern die Möglichkeit geben, die Kontrolle über jeden Java-basierten, internetfähigen Server zu übernehmen und RCE-Angriffe (Remote Code Execution) durchzuführen.
CVE-2021-44228 Detail: “Ein Angreifer, der die Kontrolle über Protokollnachrichten oder Protokollnachrichtenparameter hat, kann beliebigen Code ausführen, der von LDAP-Servern geladen wird, wenn die Nachschlageersetzung für Nachrichten aktiviert ist.” Die Auswirkungen dieser Sicherheitslücke werden wahrscheinlich sehr weitreichend sein. Es gibt bereits Berichte, wonach Bedrohungsakteure aktiv das Internet durchsuchen, um Server zu identifizieren, die für eine Ausnutzung anfällig sind.
Empfehlungen:
• Aktualisieren Sie auf Apache og4j-2.1.50.rc2, da alle früheren 2.x-Versionen anfällig sind
• Blockieren Sie bei Log4j Version 2.10.0 oder später JNDI-Anfragen an nicht vertrauenswürdige Server, indem Sie den Konfigurationswert log4j2.formatMsgNoLookups auf “TRUE” setzen, um LDAP- und andere Abfragen zu verhindern
• Setzen Sie sowohl com.sun.jndi.rmi.object.trustURLCodebase als auch com.sun.jndi.cosnaming.object.trustURLCodebase auf “FALSE”, um Angriffe zur Remote-Code-Ausführung in Java 8u121 zu verhindern.
• Sofern keine Lösung vorhanden ist, System runterfahren oder Zugriff stark limitieren (als letzte drastische Maßnahme)