Log4j, kritische Zero-Day-Lücke auch ein Thema unserer NAS-Systeme?

    Aktuell gibt es es ja Berichte, dass eine kritische Zero-Day-Lücke in Log4j zahlreiche Server und Apps gefährdet.
    Ist das für ein NAS, in dem keine weiteren Installationen getätigt wurden eventuell ein Thema? =O


    Einen Hinweis auf das Vorhandensein der Bibliotheken konnte ich allerdings nicht finden.

    Log4j ist doch eine Java-Bibliothek, oder?

    Wäre mir nicht geläufig, dass QTS selbst oder eine der Standard-Apps Java mitbringen.

    Dann kann es eigentlich nur diejenigen betreffen, die selber Java auf ihrem NAS installiert haben.

    (Entweder explizit oder als Teil irgendeiner App.)

    Da kam doch gestern tatsächlich in den 20-Uhr-Nachrichten eine kurze Nachricht zu einer Computer-Lücke. Um die unbedarften Zuschauer nicht zu verwirren, war die Nachricht so jeder nützlichen Information beraubt, dass die Experten keine Ahnung hatten, was gemeint war. Ich habe die Nachricht daher nicht weiter beachtet und konnte gut schlafen.


    Heute früh erfahre ich, dass es die von mir viel genutzte Bibliothek log4j getroffen hat.


    Ich bin seitdem am Testen, ob sich dadurch Sicherheitslücken aufgetan haben.


    qts ist nicht betroffen. Da ist normalerweise kein Java installiert. Ohne Java gibt es die betroffene Bibliothek nicht. Java gibt es als Paket QJDK aus dem qnapclub.eu, aber auch dann hat man noch nicht die betroffene log4j-Bibliothek. Da muss man erst noch eine Anwendung installieren, die das benutzt.


    Gefühlt ist log4j in 50% aller Java-Programme enthalten. Minecraft z. B. ist betroffen. Das heißt aber noch nicht, dass die Schwachstelle direkt ausgenutzt werden kann. Der Angreifer muss das System dazu bringen, einen von ihm gegebenen Text zu protokollieren. Es reicht aber, dass die Internet-Anwendung z. B. alle fehlgeschlagenen Anmeldeversuche protokolliert. Dann braucht der Angreifer nur einmalig seinen bösartigen Text als Benutzernamen einzugeben (der dann abgelehnt und geloggt wird), und schon hat er das System.