Matomo is not concerned by the Log4j security breach CVE-2021-44228 discovered on December 2021 the 9th

Hallo @SteveG ,
wie am 9. Dezember 2021 auf GitHub bekannt gegeben und als CVE-2021-44228 mit dem höchsten Schweregrad von 10 eingestuft wurde, besteht eine Sicherheitslücke in Log4j.

Ist Matomo von dieser Sicherheitslücke betroffen?
Wenn ja, hätten Sie Handlungsempfehlungen?

Hier noch mehr Infos dazu:
Log4j ist eine Open-Source-Java-Protokollierungsbibliothek, die in einer Reihe von Softwareanwendungen und -diensten auf der ganzen Welt weit verbreitet ist. Die Schwachstelle kann Hackern die Möglichkeit geben, die Kontrolle über jeden Java-basierten, internetfähigen Server zu übernehmen und RCE-Angriffe (Remote Code Execution) durchzuführen.

CVE-2021-44228 Detail: “Ein Angreifer, der die Kontrolle über Protokollnachrichten oder Protokollnachrichtenparameter hat, kann beliebigen Code ausführen, der von LDAP-Servern geladen wird, wenn die Nachschlageersetzung für Nachrichten aktiviert ist.” Die Auswirkungen dieser Sicherheitslücke werden wahrscheinlich sehr weitreichend sein. Es gibt bereits Berichte, wonach Bedrohungsakteure aktiv das Internet durchsuchen, um Server zu identifizieren, die für eine Ausnutzung anfällig sind.

Empfehlungen:
• Aktualisieren Sie auf Apache og4j-2.1.50.rc2, da alle früheren 2.x-Versionen anfällig sind
• Blockieren Sie bei Log4j Version 2.10.0 oder später JNDI-Anfragen an nicht vertrauenswürdige Server, indem Sie den Konfigurationswert log4j2.formatMsgNoLookups auf “TRUE” setzen, um LDAP- und andere Abfragen zu verhindern
• Setzen Sie sowohl com.sun.jndi.rmi.object.trustURLCodebase als auch com.sun.jndi.cosnaming.object.trustURLCodebase auf “FALSE”, um Angriffe zur Remote-Code-Ausführung in Java 8u121 zu verhindern.
• Sofern keine Lösung vorhanden ist, System runterfahren oder Zugriff stark limitieren (als letzte drastische Maßnahme)

1 Like

Hallo,

Matomo verwendet keinerlei Java-Anwendungen und ist daher nicht von dem Log4j-Problemen betroffen.

2 Likes

Hallo @Lukas ,
danke für die schnelle Antwort.

1 Like

As it speaks about a 0-day with a CVSS severity rating of 10, I add some quick translation to what was written there (and because I also searched for this kind of information on Matomo blog…):

Matomo is not concerned by the Log4j security breach CVE-2021-44228 discovered on December 2021 the 9th

2 Likes

@Lukas , this note mentions Java among other technologies used in other projects related to Matomo. Could you still confirm, that the breach doesn’t concern Matomo?

  • Tracking API Clients: our core team and community create and maintain Tracking API SDKs in multiple languages: Java, C#, PHP, JavaScript. (we are looking for new creators of SDK for Matomo, ideal if you love open source, Matomo and either Ruby or Node.js or C++ or Go or any other awesome programming language or platform!)

@waldemar1

The Matomo Java SDK and Android SDK for integrating Matomo into Java applications are of course written in Java. But if you are developing a Java application yourself, you probably know better than me how to check that it is not vulnerable for the Log4j security issue (and have to do it anyway).

1 Like

I am not a Java Developer, but I got your point. Matomo Java SDK and Android SDK are seperate from Matomo and thus, Matomo itself is not concerned. Thank you.

2 Likes