CVE-2021-44228 – log4j – Meldung zu einer Sicherheitslücke
(unit42.paloaltonetworks.com)Für das Java-Logging-Framework log4j wurde eine Sicherheitslücke gemeldet.
-
Betroffene Versionen: 2.0 ~ 2.14.1
-
Behobene Version >= 2.15.0-rc1
-
Es wird empfohlen, auf allen Systemen, die die Apache-log4j-Bibliothek verwenden, Patches einzuspielen.
-
Zu den wichtigsten betroffenen Systemen gehören
-
Apache Struts
-
Apache Solr
-
Apache Druid
-
Apache Flink
-
ElasticSearch
-
Flume
-
Apache Dubbo
-
Logstash
-
Kafka
-
Spring-Boot-starter-log4j2
-
7 Kommentare
Ah, ist log4j eine Funktion zum Logging?
Nur vom Namen her dachte ich, es wäre math log4.
Dies ist ein Bug, bei dem Remote Code Execution (RCE) möglich ist, wenn Inhalte mit einer bestimmten Zeichenfolge protokolliert werden.
Offenbar gibt es inzwischen sogar Leute, die diese Sicherheitslücke ausnutzen, um Minecraft-Server in Doom-Server zu verwandeln. Rip and Tear!
https://twitter.com/gegy1000/status/1469714451716882434
hahaha, sogar auf einen Minecraft-Server wurde Doom portiert …
Da der Anwendungsbereich so außergewöhnlich groß ist, betreiben die inländischen Medien wohl Clickbait mit Schlagzeilen wie „Die schlimmste entdeckte Sicherheitslücke in der Geschichte der Computer“ ...
Unter den betroffenen Produkten sind viele dabei, die man schon dem Namen nach kennt, daher scheint auch das Ausmaß der Betroffenheit enorm zu sein.
Wie sich die Schwachstelle reproduzieren lässt, wird im folgenden Artikel beschrieben.
[PC Magazine] Countless Servers Are Vulnerable to Apache Log4j Zero-Day Exploit
https://pcmag.com/news/…
Im Fall von SpringBoot ist es sinnvoll, entsprechend dem untenstehenden Link vorzugehen.
https://spring.io/blog/2021/12/10/log4j2-vulnerability-and-spring-boot
maven
gradle
ext['log4j2.version'] = '2.15.0'