Die Sicherheitslücke in der Log4j Komponente ist aktuell eine eine ernstzunehmende Sicherheitslücke. Damit Du Deine Systeme überprüfen kannst gibt es einige Test-Tools. Ein Tool, welches man auch auf einem Raspi installieren kann, möchte ich Dir heute vorstellen.
Das BSI warnt vor der aktuellen Sicherheitslücke in der Log4j Komponente, welche in Zahlreichen Systemen plattformübergreifend verwendet wird. Doch sind meine Systeme betroffen? Um diese Frage zu klären empfiehlt es sich, das System auf die Lücke zu überprüfen. Eines dieser Tools ist der log4j-scanner. Den installieren wir auf einem Raspberry Pi unter DiePi. Selbstverständlich kann man den Scanner unter allen anderen Linux-Distris auf dem Pi installieren.
Disclaimer
Diese Anleitung zeigt lediglich die Installationsschritte für die Installation von log4j-scanner. Eine Haftung im Bezug auf Richtigkeit der Testergebnisse und einen Ausschluss der Gefährdung kann nicht gewährleistet werden.
Installation
Für die Installation benötigen wir einen Raspberry mit der aktuellen DietPi Installation bzw. Raspberry Pi OS / Ubuntu sowie die Pakete Git und Python. Sofern diese noch nicht eingerichtet sind, kann dies bequem über bei DietPi die Softwareverwaltung eingerichtet werden. Für Raspberry Pi OS geht dies manuell (siehe weiter unten).
Git Tools installieren (Paket 17) unter DietPi:
dietpi-software install 17
Python 3 Installieren (Paket 130) unter DietPi:
dietpi-software install 130
Falls Du nicht DietPi benutzt kannst Du die Installation auch manuell durchführen (sämtliche Debian basierten Distris):
sudo apt install git
sudo apt install python3 python3-pip
Danach laden wir das Software-Paket von der Github Seite herunter. Am besten im root user Verzeichnis:
git clone https://github.com/fullhunt/log4j-scan.git
Danach wechsele ins Verzeichnis log4j-scan:
cd log4j-scan/
Als nächstes benötigen wir die benötigten Python Erweiterungen. Diese stehen in der Dateien requirements.txt :
pip install -r requirements.txt
Nun sind alle Vorbereitungen getroffen. Um eine URL zu testen ist folgende Syntax einzugeben. Ersetze deine-url.de durch die Adresse Deiner Website / Servers und achte darauf, ob es http oder https ist.
python3 log4j-scan.py -u https://www.deine-url.de
Das Ergebnis des Scans wird dann wir folgt angezeigt, hier am Beispiel von https://blog.login.gmbh
In diesem Fall hat der Scanner keine Schwachstelle im Bezug auf log4j erkannt. Wenn es so aussieht, gibt es von diesem Tool erst einmal Entwarnung.
Wie Du DietPi installieren kannst siehst Du hier:
DietPi auf Raspi Zero (2W): Link
DietPi auf Raspberry 4: Link
DietPi unter Proxmox: Link