-
"Wenig Voraussetzungen für erfolgreiches Ausnutzen"
Autor: Raskil2000 11.12.21 - 10:19
Außer einer 3 Jahre alten Javaversion und einem Server auf dem das läuft mit ausgehendem Internetzugang.
Für mich wirkt das eher wie eine neue Google Maps API für schlechte Sicherheitsarchitekturen. -
Re: "Wenig Voraussetzungen für erfolgreiches Ausnutzen"
Autor: anonymous_bosch 11.12.21 - 12:45
Das CVE ist doch für die aktuelle log4j2 Version (vor dem patch) gewesen? Man kann die lib auch mit aktuellen Java Versionen nutzen.
Also ne einfacher auszunutzende Sicherheitslücke wär höchstens 1234 als Passwort zu nutzen... -
Re: "Wenig Voraussetzungen für erfolgreiches Ausnutzen"
Autor: andy848484 11.12.21 - 13:11
Aktuelle Java Versionen scheinen nicht betroffen zu sein
https://www.lunasec.io/docs/blog/log4j-zero-day/
Zitat
"JDK versions greater than 6u211, 7u201, 8u191, and 11.0.1 are not affected by the LDAP attack vector" -
Re: "Wenig Voraussetzungen für erfolgreiches Ausnutzen"
Autor: Raskil2000 11.12.21 - 13:29
anonymous_bosch schrieb:
--------------------------------------------------------------------------------
> Das CVE ist doch für die aktuelle log4j2 Version (vor dem patch) gewesen?
> Man kann die lib auch mit aktuellen Java Versionen nutzen.
Wann man die betroffenen log4j-Versionen mit aktuellen Java Versionen nutzt, dann kann man die Schwachstelle aber nicht mehr ausnutzen. -
Re: "Wenig Voraussetzungen für erfolgreiches Ausnutzen"
Autor: anonymous_bosch 11.12.21 - 14:57
andy848484 schrieb:
--------------------------------------------------------------------------------
> Aktuelle Java Versionen scheinen nicht betroffen zu sein
>
> www.lunasec.io
>
> Zitat
> "JDK versions greater than 6u211, 7u201, 8u191, and 11.0.1 are not affected
> by the LDAP attack vector"
Danke, das hab ich wohl übersehen -
Re: "Wenig Voraussetzungen für erfolgreiches Ausnutzen"
Autor: z3r0t3n 11.12.21 - 22:02
Raskil2000 schrieb:
--------------------------------------------------------------------------------
> anonymous_bosch schrieb:
> ---------------------------------------------------------------------------
> -----
> > Das CVE ist doch für die aktuelle log4j2 Version (vor dem patch)
> gewesen?
> > Man kann die lib auch mit aktuellen Java Versionen nutzen.
>
> Wann man die betroffenen log4j-Versionen mit aktuellen Java Versionen
> nutzt, dann kann man die Schwachstelle aber nicht mehr ausnutzen.
Das ist so nicht richtig.
Es wird komplizierter als einfach nur nen Link reinschreiben. Ist aber unter Umständen (zB wenn die Application auf Tomcat läuft) weiterhin möglich. -
Re: "Wenig Voraussetzungen für erfolgreiches Ausnutzen"
Autor: GL 12.12.21 - 17:48
Also ich konnte die Lücke mit JDK 14 nachvollziehen. Es ist übrigens im Grunde auch kein log4j-Problem, sondern ein allgemeines JNDI-Problem. Details siehe unter https://mbechler.github.io/2021/12/10/PSA_Log4Shell_JNDI_Injection/
Dort steht auch:
"TLDR: A current Java runtime version won’t safe you. Do patch."
Golem.de
