12 Punkte von tkwlsrl 2021-12-11 | 7 Kommentare | Auf WhatsApp teilen

Für das Java-Logging-Framework log4j wurde eine Sicherheitslücke gemeldet.

  • Betroffene Versionen: 2.0 ~ 2.14.1

  • Behobene Version >= 2.15.0-rc1

  • Es wird empfohlen, auf allen Systemen, die die Apache-log4j-Bibliothek verwenden, Patches einzuspielen.

  • Zu den wichtigsten betroffenen Systemen gehören

    • Apache Struts

    • Apache Solr

    • Apache Druid

    • Apache Flink

    • ElasticSearch

    • Flume

    • Apache Dubbo

    • Logstash

    • Kafka

    • Spring-Boot-starter-log4j2

7 Kommentare

 
v08zbv8fvlkjasdflkj 2021-12-13

Ah, ist log4j eine Funktion zum Logging?

Nur vom Namen her dachte ich, es wäre math log4.

 
xguru 2021-12-11

Dies ist ein Bug, bei dem Remote Code Execution (RCE) möglich ist, wenn Inhalte mit einer bestimmten Zeichenfolge protokolliert werden.

 
kunggom 2021-12-13

Offenbar gibt es inzwischen sogar Leute, die diese Sicherheitslücke ausnutzen, um Minecraft-Server in Doom-Server zu verwandeln. Rip and Tear!

https://twitter.com/gegy1000/status/1469714451716882434

 
budlebee 2021-12-13

hahaha, sogar auf einen Minecraft-Server wurde Doom portiert …

 
xguru 2021-12-11

Da der Anwendungsbereich so außergewöhnlich groß ist, betreiben die inländischen Medien wohl Clickbait mit Schlagzeilen wie „Die schlimmste entdeckte Sicherheitslücke in der Geschichte der Computer“ ...

 
kunggom 2021-12-11

Unter den betroffenen Produkten sind viele dabei, die man schon dem Namen nach kennt, daher scheint auch das Ausmaß der Betroffenheit enorm zu sein.

Wie sich die Schwachstelle reproduzieren lässt, wird im folgenden Artikel beschrieben.

[PC Magazine] Countless Servers Are Vulnerable to Apache Log4j Zero-Day Exploit

https://pcmag.com/news/…

 
tkwlsrl 2021-12-11

Im Fall von SpringBoot ist es sinnvoll, entsprechend dem untenstehenden Link vorzugehen.

https://spring.io/blog/2021/12/10/log4j2-vulnerability-and-spring-boot

maven

2.15.0

gradle

ext['log4j2.version'] = '2.15.0'