1 verinice nicht betroffen von log4j Schwachstelle 2 verinice.XP 2022: CfP gestartet, Early Bird Tickets erhältlich
English version below.
1 verinice nicht betroffen von log4j Schwachstelle
In der letzten Woche wurde eine kritische Schwachstelle in der viel genutzten Logging Bibliothek log4j 2 gefunden. Die Schwachstelle hat die CVS Nummer CVE-2021-44228 erhalten.
Siehe: - https://www.lunasec.io/docs/blog/log4j-zero-day/ - https://nvd.nist.gov/vuln/detail/CVE-2021-44228
Die im verinice.PRO Server enthaltenen log4j Versionen sind von der Schwachstelle *nicht* betroffen. Betroffen sind die Versionen 2.0 <= log4j <= 2.14.1. In verinice enthalten ist log4j 1.2.15. In CentOS 7 enthalten ist das Paket log4j 1.2.17.
Unter Umständen sind auf einem verinice.PRO System andere Java Anwendungen in Tomcat vorhanden, die nicht vom verinice-Team installiert wurden. Da diese Anwendungen möglicherweise betroffene log4j Versionen enthalten, empfehlen wir einen Parameter in die Tomcat Konfiguration aufzunehmen, der das Ausnutzen der Schwachstelle in anderen Anwendungen verhindert. Der Parameter muss eingetragen werden in die Datei:
/etc/tomcat/tomcat.conf
In dieser Datei muss der Parameter -Dlog4j2.formatMessageNoLookups=true zur Variable JAVA_OPTS hinzugefügt werden, so dass die Zeile zum Beispiel so aussieht:
JAVA_OPTS="-Xms512M -Xmx2048M -Dlog4j2.formatMessageNoLookups=true -Duser.language=de -Duser.region=DE"
2 verinice.XP 2022: CfP gestartet, Early Bird Tickets erhältlich
Die nächste verinice.XP findet am 23. & 24. Februar 2022 statt ? vor Ort in Berlin im Radisson Blu Hotel. Early-Bird-Tickets sind noch bis zum 17. Dezember 2021 zum Preis von 399 Euro erhältlich (Buchung über https://verinicexp.org/).
Vortragsvorschläge können unter https://verinicexp.org oder per E-Mail an cfp@verinicexp.org eingereicht werden. Das Programm wird Ende 2021 veröffentlicht. Auch die Themen für den zusätzlichen Workshop-Tag am 22. Februar 2022 werden noch bekannt gegeben.
--------------------------------------------------------------------
1 verinice not affected by log4j security vulnerability 2 verinice.XP 2022: CfP started, Early Bird tickets available
1 verinice not affected by log4j security vulnerability
Last week a critical vulnerability was found in the popular logging library log4j 2. The vulnerability has been assigned the CVS number CVE-2021-44228.
See: - https://www.lunasec.io/docs/blog/log4j-zero-day/ - https://nvd.nist.gov/vuln/detail/CVE-2021-44228
The log4j versions included in the verinice.PRO server are *not* affected by the vulnerability. The affected versions are 2.0 <= log4j <= 2.14.1. included in verinice is log4j 1.2.15. included in CentOS 7 is package log4j 1.2.17.
There may be other Java applications in Tomcat on a verinice.PRO system that were not installed by the verinice team. Since these applications may contain affected log4j versions, we recommend adding a parameter to the Tomcat configuration that prevents exploitation of the vulnerability in other applications. The parameter must be entered in the file:
/etc/tomcat/tomcat.conf
In this file, the parameter -Dlog4j2.formatMessageNoLookups=true must be added to the variable JAVA_OPTS, so that the line looks like this, for example:
JAVA_OPTS="-Xms512M -Xmx2048M -Dlog4j2.formatMessageNoLookups=true -Duser.language=en -Duser.region=EN"
2 verinice.XP 2022: CfP started, Early Bird tickets available
The next verinice.XP will take place on February 23 & 24, 2022 - on-site in Berlin at the Radisson Blu Hotel. Early Bird tickets are still available until December 17, 2021 at a price of 399 Euro (booking via https://verinicexp.org/).
Presentation proposals can be submitted at https://verinicexp.org or by email to cfp@verinicexp.org. The program will be published at the end of 2021. The topics for the additional workshop day on February 22, 2022 will also be announced.