Danke für die Antworten.
Das Problem ist: Das teil ist nicht von mir, keinen Plan was das Ding so treibt und was wohin geschrieben wird.
Allerdings haben "wir" das halt an unsere Kunden ausgeliefert (ausliefern müssen) und jetzt stelle ich mir die Frage ob es nicht schlauer wäre, das Zeugs von den Kundenrechnern zu putzen, wenn wir die aktuelle Version ausliefern....

Definitiv, und mit einem Flammenwerfer hinterher alles reinigen.

......

Hallo,
von der KBV gibt es mittlerweile neue Versionen vom Prüfmodul und Kryptomodul.
Falls es darum geht ...

ähm.. Ja.. aber halt "nur" für Q1-2022 und glaube Q4-2021. Aber der Rest halt nicht Und die KBV empfiehlt inzwischen selbst die Entfernung bzw. die Ausführung in einer sicheren Umgebung...

https://update.kbv.de/ita-update/Ank..._Log4j_FAQ.pdf

Hallo,
ja, die Ausführung zu verhindern.

Ich glaube nicht, dass man durch das Löschen der log4j-Datei das Problem löst.
Ich habe die Datei nicht gefunden.

Das BSI hat eine ständig aktualisierte Seite, wo auch Maßnahmen zu Detektion und Beseitigung beschrieben werden:

https://www.bsi.bund.de/DE/Themen/Un...og4j_node.html

Das unangenehme an der Sache ist, dass inzwischen klar, ist, dass auch ältere Versionen von Log4J (1.x) für Angriffe anfällig sind (und damit das Problem noch größer, als zunächst vermutet). Dafür wird es wahrscheinlich aber keines Fixes mehr geben, d.h. ein Umstieg auf aktuelle Versionen 2.x wird erforderlich sein.

Woraus liest du das auch log4j 1.x auch betroffen wäre?

Die Erweiterung mit Auswertung der Daten ist ja erst mit 2.x rein gekommen.
Oder verwechselst du da evtl. was mit das ältere Java-Versionen noch anfälliger wären?

Wenn man von einem erfolgreichen Angriff ausgeht, wäre der Rechner neu aufzusetzen.
Also das "putzen" als ersten Schritt unnötig.

Gute Frage: Wie findet und bereinigt man das Log4J Problem am Besten und Einfachsten ?
Durch einfache Filesuche, oder gibt es von MS oder anderso schon Scanner ?
Wie findet und beseitigt das auf Apache-Servern und/oder NAS-Systemen ?

es gibt einen Python-scanner
https://github.com/fox-it/log4j-finder

und sicherlich noch vieles mehr.



doch, nach einer Nacht drüber schlafen, sehe ich zumindest das Potential eines SocialEngineering Angriffs auf Arztpraxen (in unserem Fall) wenn die eine präparierte Abrechnungsdatei durch das KBV Prüfmodul jagen....