1. Foren
  2. Kommentare
  3. Security-Forum
  4. Alle Kommentare zum Artikel
  5. › Java: Log4J-Lücke bedroht…

"Wenig Voraussetzungen für erfolgreiches Ausnutzen"

Neue Foren im Freiraum! Raumfahrt und freie Software haben jetzt einen Platz, die Games tummeln sich jetzt alle in einem Forum.
  1. Thema

Neues Thema


  1. "Wenig Voraussetzungen für erfolgreiches Ausnutzen"

    Autor: Raskil2000 11.12.21 - 10:19

    Außer einer 3 Jahre alten Javaversion und einem Server auf dem das läuft mit ausgehendem Internetzugang.
    Für mich wirkt das eher wie eine neue Google Maps API für schlechte Sicherheitsarchitekturen.

  2. Re: "Wenig Voraussetzungen für erfolgreiches Ausnutzen"

    Autor: anonymous_bosch 11.12.21 - 12:45

    Das CVE ist doch für die aktuelle log4j2 Version (vor dem patch) gewesen? Man kann die lib auch mit aktuellen Java Versionen nutzen.

    Also ne einfacher auszunutzende Sicherheitslücke wär höchstens 1234 als Passwort zu nutzen...

  3. Re: "Wenig Voraussetzungen für erfolgreiches Ausnutzen"

    Autor: andy848484 11.12.21 - 13:11

    Aktuelle Java Versionen scheinen nicht betroffen zu sein

    https://www.lunasec.io/docs/blog/log4j-zero-day/

    Zitat
    "JDK versions greater than 6u211, 7u201, 8u191, and 11.0.1 are not affected by the LDAP attack vector"

  4. Re: "Wenig Voraussetzungen für erfolgreiches Ausnutzen"

    Autor: Raskil2000 11.12.21 - 13:29

    anonymous_bosch schrieb:
    --------------------------------------------------------------------------------
    > Das CVE ist doch für die aktuelle log4j2 Version (vor dem patch) gewesen?
    > Man kann die lib auch mit aktuellen Java Versionen nutzen.

    Wann man die betroffenen log4j-Versionen mit aktuellen Java Versionen nutzt, dann kann man die Schwachstelle aber nicht mehr ausnutzen.

  5. Re: "Wenig Voraussetzungen für erfolgreiches Ausnutzen"

    Autor: anonymous_bosch 11.12.21 - 14:57

    andy848484 schrieb:
    --------------------------------------------------------------------------------
    > Aktuelle Java Versionen scheinen nicht betroffen zu sein
    >
    > www.lunasec.io
    >
    > Zitat
    > "JDK versions greater than 6u211, 7u201, 8u191, and 11.0.1 are not affected
    > by the LDAP attack vector"

    Danke, das hab ich wohl übersehen

  6. Re: "Wenig Voraussetzungen für erfolgreiches Ausnutzen"

    Autor: z3r0t3n 11.12.21 - 22:02

    Raskil2000 schrieb:
    --------------------------------------------------------------------------------
    > anonymous_bosch schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Das CVE ist doch für die aktuelle log4j2 Version (vor dem patch)
    > gewesen?
    > > Man kann die lib auch mit aktuellen Java Versionen nutzen.
    >
    > Wann man die betroffenen log4j-Versionen mit aktuellen Java Versionen
    > nutzt, dann kann man die Schwachstelle aber nicht mehr ausnutzen.

    Das ist so nicht richtig.

    Es wird komplizierter als einfach nur nen Link reinschreiben. Ist aber unter Umständen (zB wenn die Application auf Tomcat läuft) weiterhin möglich.

  7. Re: "Wenig Voraussetzungen für erfolgreiches Ausnutzen"

    Autor: GL 12.12.21 - 17:48

    Also ich konnte die Lücke mit JDK 14 nachvollziehen. Es ist übrigens im Grunde auch kein log4j-Problem, sondern ein allgemeines JNDI-Problem. Details siehe unter https://mbechler.github.io/2021/12/10/PSA_Log4Shell_JNDI_Injection/
    Dort steht auch:

    "TLDR: A current Java runtime version won’t safe you. Do patch."

  1. Thema

Neues Thema


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Projektmanager (m/w/d) im technischen Produktmanagement
    CCV GmbH, Au in der Hallertau
  2. Softwareentwickler Healthcare IT (gn*)
    medavis GmbH, Karlsruhe
  3. IT-Systembetreuerin/IT-Syste- mbetreuer (m/w/d)
    FFG Fahrzeugwerkstätten Falkenried GmbH, Hamburg
  4. (Senior) Software Developer (m/w/d)
    STABILO International GmbH, Heroldsberg

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 35,99€ statt 39,99€
  2. 48,95€ statt 79,99€
  3. (u. a. Project Wingman für 16,99€, The Wild Heart für 15,99€, Crying Suns für 6,99€)
  4. täglich wechselnde Angebote


Haben wir etwas übersehen?

E-Mail an news@golem.de