CVE-2021-44228 – log4j – Meldung zu einer Sicherheitslücke

 (unit42.paloaltonetworks.com)
12 Punkte von tkwlsrl 2021-12-11 | 7 Kommentare | Auf WhatsApp teilen
<p>Für das Java-Logging-Framework log4j wurde eine Sicherheitslücke gemeldet.<br /> <br /> - Betroffene Versionen: 2.0 ~ 2.14.1<br /> - Behobene Version &gt;= 2.15.0-rc1<br /> - Es wird empfohlen, auf allen Systemen, die die Apache-log4j-Bibliothek verwenden, Patches einzuspielen.<br /> <br /> - Zu den wichtigsten betroffenen Systemen gehören<br /> * Apache Struts<br /> * Apache Solr<br /> * Apache Druid<br /> * Apache Flink<br /> * ElasticSearch<br /> * Flume<br /> * Apache Dubbo<br /> * Logstash<br /> * Kafka<br /> * Spring-Boot-starter-log4j2</p>

Verwandte Beiträge

7 Kommentare

 
v08zbv8fvlkjasdflkj 2021-12-13
<p>Ah, ist log4j eine Funktion zum Logging?<br /> <br /> Nur vom Namen her dachte ich, es wäre math log4.</p>
 
xguru 2021-12-11
<p>Dies ist ein Bug, bei dem Remote Code Execution (RCE) möglich ist, wenn Inhalte mit einer bestimmten Zeichenfolge protokolliert werden.</p>
 
kunggom 2021-12-13
<p>Offenbar gibt es inzwischen sogar Leute, die diese Sicherheitslücke ausnutzen, um Minecraft-Server in Doom-Server zu verwandeln. Rip and Tear!<br /> https://twitter.com/gegy1000/status/1469714451716882434</p>;
 
budlebee 2021-12-13
<p>hahaha, sogar auf einen Minecraft-Server wurde Doom portiert …</p>
 
xguru 2021-12-11
<p>Da der Anwendungsbereich so außergewöhnlich groß ist, betreiben die inländischen Medien wohl Clickbait mit Schlagzeilen wie „Die schlimmste entdeckte Sicherheitslücke in der Geschichte der Computer“ ...</p>
 
kunggom 2021-12-11
<p>Unter den betroffenen Produkten sind viele dabei, die man schon dem Namen nach kennt, daher scheint auch das Ausmaß der Betroffenheit enorm zu sein.<br /> Wie sich die Schwachstelle reproduzieren lässt, wird im folgenden Artikel beschrieben.<br /> <br /> [PC Magazine] Countless Servers Are Vulnerable to Apache Log4j Zero-Day Exploit<br /> https://pcmag.com/news/…;
 
tkwlsrl 2021-12-11
<p>Im Fall von SpringBoot ist es sinnvoll, entsprechend dem untenstehenden Link vorzugehen.<br /> https://spring.io/blog/2021/… /> <br /> maven<br /> &lt;properties&gt;<br /> &lt;log4j2.version&gt;2.15.0&lt;/log4j2.version&gt;<br /> &lt;/properties&gt;<br /> <br /> gradle<br /> ext['log4j2.version'] = '2.15.0'</p>