System Licht Donker

Theme editor

Page Setup Appearance

  • Page Width

    Toggle Page Width

    Allows you to change page width values

    Color Pickers

    Toggle color picker

    Allows you to change the color of some predefined items

    Typography

    Select the font you want to use

    Node Layout

    Enable grid layout

    Arranges forum nodes in a clean grid layout.

  • Stijl variatie

    Select the style variation you want to use
    System Licht Donker

Kwetsbaarheid Apache Log4j

Status
Niet open voor verdere reacties.
Jordan

Jordan

UniFier
Lid geworden
11 mei 2020
Berichten
81
Waarderingsscore
54
Punten
18
Locatie
Zuid-Limburg
Thread owner
Heren,

Wellicht is het sommige van jullie niet ontgaan, maar in Appache Log4j zijn ernstige kwestbaarheden gevonden:

Ik was ook nog het volgende artikel tegemoet gekomen m.b.t. Ubiquiti: https://community.ui.com/releases/U...n-6-5-54/d717f241-48bb-4979-8b10-99db36ddabe1

Ik wilde deze informatie toch even graag met jullie delen 😇
 
Thnx voor de heads up. Had het inderdaad gelezen.

Hierbij ook de directe link naar de Log4j overview related software op GitHub, hier staan per merk en product de kwetsbaarheden per versie vermeld en of er al een fix is.

Mbt Ubiquiti UniFi Network Application, versie 6.5.54 heeft deze kwetsbaarheden gedicht.
 
Thread owner
Kevin89 zei:
Thnx voor de heads up. Had het inderdaad gelezen.

Hierbij ook de directe link naar de Log4j overview related software op GitHub, hier staan per merk en product de kwetsbaarheden per versie vermeld en of er al een fix is.

Mbt Ubiquiti UniFi Network Application, versie 6.5.54 heeft deze kwetsbaarheden gedicht.
Klik om te vergroten...
Dat is correct! De link wat ik had gedeeld m.b.t. Ubiquiti, is afkomstig van de link die jij gedeeld hebt van GitHub.
 
let op!
Versie 6.5.54 bevat de log4j fix die nog een ander lek bevat.
Versie 6.5.55 is vrij kort daarna uitgekomen (weet niet precies wanneer omdat Ubiquiti ook nog 2 dagen een storing heeft gehad) en zou je moeten hebben draaien om volledig gepatched te zijn.
 
Er spelen verschillende CVE's en in de eerste CVE werd het log4j2 issue wel opgelost maar konden ze een bepaalde payload het logging mechanisme toch weer uitzetten. Dit is li versie 2.16 van log4j2 opgelost en ik neem aan ook in de unifi 6.5.5.

En ja ik weet dat aannames gevaarlijk zijn:

 
Laatst bewerkt:
Wat mij de meeste zorgen baat is dat Fox-IT een scan-tool heeft uitgebracht om te scannen op de Log4J vulnerability en dat als ik die laat scannen op een server die een unifi 6.5.55 installatie bevat ik alsnog een melding ontvang over de log4j-core-2.16.0.jar
1640010402491.png
 
Er zijn dus inderdaad verschillende CVE's en de meest critical is opgelost in 2.16.0 maar er zijn er dus ondertussen nog meer gevonden en deze zijn pas opgelost in 2.17.0 (deze hebben de status high)

Apache Logging Services

logging.apache.org

Mijn inziens toch een slecht idee om je controller open aan het internet te hangen.
 
Status
Niet open voor verdere reacties.

Vergelijkbare onderwerpen

m4v3r1ck
  • Gesloten
⚠️ Security Advisory Bulletin 023
Reacties
3
Weergaven
1K
m4v3r1ck
m4v3r1ck

Over ons

Het Nederlandse Unifi Forum is het onofficiële forum voor UniFi liefhebbers. Sinds de start op 4 januari 2018 bieden we een fris en overzichtelijk platform met handige functies, een responsief design voor mobiel gebruik, tutorials en handleidingen.

Ons forum is gebaseerd op XenForo-software en bevat een Resources sectie waar gebruikers content kunnen delen en beoordelen. Op UniFi Forum blijf je altijd op de hoogte van het laatste UniFi nieuws, aankondigingen en productveiligheidsupdates. We voegen regelmatig nuttige functies toe, terwijl het forum overzichtelijk en goed gemodereerd blijft.

Disclaimer: Dit forum is op geen enkele manier verbonden met Ubiquiti of het merk UniFi. Alle vermeldingen van producten of merken zijn uitsluitend bedoeld voor discussie en informatieve doeleinden.

Currently on our website
Leden online
Onderwerpen 6.832
Berichten 63.188
Leden 5.887
Nieuwste lid giraffe01
Terug
Bovenaan