verinice nicht betroffen von log4j Schwachstelle / verinice.XP 2022 - verinice-Newsletter

13 Dec 2021


      1 verinice nicht betroffen von log4j Schwachstelle
2 verinice.XP 2022: CfP gestartet, Early Bird Tickets erhältlich
English version below.
1 verinice nicht betroffen von log4j Schwachstelle
In der letzten Woche wurde eine kritische Schwachstelle in der viel 
genutzten Logging Bibliothek log4j 2 gefunden. Die Schwachstelle hat die 
CVS Nummer CVE-2021-44228 erhalten.
Siehe:
   - https://www.lunasec.io/docs/blog/log4j-zero-day/
   - https://nvd.nist.gov/vuln/detail/CVE-2021-44228
Die im verinice.PRO Server enthaltenen log4j Versionen sind von der 
Schwachstelle *nicht* betroffen. Betroffen sind die Versionen 2.0 <= 
log4j <= 2.14.1. In verinice enthalten ist log4j 1.2.15. In CentOS 7 
enthalten ist das Paket log4j 1.2.17.
Unter Umständen sind auf einem verinice.PRO System andere Java 
Anwendungen in Tomcat vorhanden, die nicht vom verinice-Team installiert 
wurden. Da diese Anwendungen möglicherweise betroffene log4j Versionen 
enthalten, empfehlen wir einen Parameter in die Tomcat Konfiguration 
aufzunehmen, der das Ausnutzen der Schwachstelle in anderen Anwendungen 
verhindert. Der Parameter muss eingetragen werden in die Datei:
/etc/tomcat/tomcat.conf
In dieser Datei muss der Parameter -Dlog4j2.formatMessageNoLookups=true 
zur Variable JAVA_OPTS hinzugefügt werden, so dass die Zeile zum 
Beispiel so aussieht:
JAVA_OPTS="-Xms512M -Xmx2048M -Dlog4j2.formatMessageNoLookups=true
-Duser.language=de -Duser.region=DE"
2 verinice.XP 2022: CfP gestartet, Early Bird Tickets erhältlich
Die nächste verinice.XP findet am 23. & 24. Februar 2022 statt ? vor Ort 
in Berlin im Radisson Blu Hotel. Early-Bird-Tickets sind noch bis zum 
17. Dezember 2021 zum Preis von 399 Euro erhältlich (Buchung über 
https://verinicexp.org/).
Vortragsvorschläge können unter https://verinicexp.org oder per E-Mail 
an cfp@verinicexp.org eingereicht werden. Das Programm wird Ende 2021 
veröffentlicht. Auch die Themen für den zusätzlichen Workshop-Tag am 22. 
Februar 2022 werden noch bekannt gegeben.
--------------------------------------------------------------------
1 verinice not affected by log4j security vulnerability
2 verinice.XP 2022: CfP started, Early Bird tickets available
1 verinice not affected by log4j security vulnerability
Last week a critical vulnerability was found in the popular logging 
library log4j 2. The vulnerability has been assigned the CVS number 
CVE-2021-44228.
See:
   - https://www.lunasec.io/docs/blog/log4j-zero-day/
   - https://nvd.nist.gov/vuln/detail/CVE-2021-44228
The log4j versions included in the verinice.PRO server are *not* 
affected by the vulnerability. The affected versions are 2.0 <= log4j <= 
2.14.1. included in verinice is log4j 1.2.15. included in CentOS 7 is 
package log4j 1.2.17.
There may be other Java applications in Tomcat on a verinice.PRO system 
that were not installed by the verinice team. Since these applications 
may contain affected log4j versions, we recommend adding a parameter to 
the Tomcat configuration that prevents exploitation of the vulnerability 
in other applications. The parameter must be entered in the file:
/etc/tomcat/tomcat.conf
In this file, the parameter -Dlog4j2.formatMessageNoLookups=true must be 
added to the variable JAVA_OPTS, so that the line looks like this, for 
example:
JAVA_OPTS="-Xms512M -Xmx2048M -Dlog4j2.formatMessageNoLookups=true 
-Duser.language=en -Duser.region=EN"
2 verinice.XP 2022: CfP started, Early Bird tickets available
The next verinice.XP will take place on February 23 & 24, 2022 - on-site 
in Berlin at the Radisson Blu Hotel. Early Bird tickets are still 
available until December 17, 2021 at a price of 399 Euro (booking via 
https://verinicexp.org/).
Presentation proposals can be submitted at https://verinicexp.org or by 
email to cfp@verinicexp.org. The program will be published at the end of 
2021. The topics for the additional workshop day on February 22, 2022 
will also be announced.