Broadcom hat eine neue Version des SEP-Managers bereitgestellt (14.3.5427.3000), welche die neue log4j Version 2.16 enthält.
+ KB Artikel 230359 dazu ...
+ niwis Download ...
+ Diskussion im Symantec Connect Forum über verlorenes 64bit Installationspaket ...
+ REST API connections no longer authenticate ...
Von CVE-2021-45105 und CVE-2021-44832 ist der SEP-Manager nicht betroffen (s. KB Artikel 230359)
Broadcom hat am 11. Dezember Informationen zu einer Lücke im Symantec Endpoint Protection Manager veröffentlicht (SYMSA19793), da dieser eine verwundbare Version der Apache Java-Bibliothek Log4j verwendet (CVE-2021-44228).
Broadcom hat zwar schon Signaturen für die Erkennung eines Angriffs veröffentlicht, allerdings wird auch dazu geraten, die Lücke selbst über das Setzen einer Umgebungsvaribale auf dem SEP-Manager zu schließen und danach die SEP-Manager Dienste neu zu starten.
LOG4J_FORMAT_MSG_NO_LOOKUPS=true
++++++++++++++++++++++++++++++++++++++++++++++++++ +++++++++++++++++++++++++++++++++++++++
Von dieser Schwachstelle sind eine Vielzahl weiterer Anwendungen betroffen. Es ist deshalb auch ratsam auf anderen Systemen nach der log4j*.jar zu suchen (ab 2.15 ist die Verwundbarkeit behoben). Diese Systeme verwenden evtl auch die verwundbare Bibliothek und sind dadurch angreifbar (z. B. der Live Update Administrator). Besser ist jedoch der Einsatz eines Schwachstellenscanners.
Die Schwachstelle wird bereits aktiv ausgenutzt, bei mir werden seit dem frühen Morgen des 12. Dezember die ersten Einträge im SEP IPS Log protokolliert. Bitte spätestens jetzt die Server OS auch mit SEP IPS schützen.
BSI erhöht Bedrohungslage auf rot ...
Kommentar