1. Foren
  2. Kommentare
  3. Security-Forum
  4. Alle Kommentare zum Artikel
  5. › Java: Log4J-Lücke bedroht…

@Golem Der Titel ist irreführend

Neue Foren im Freiraum! Raumfahrt und freie Software haben jetzt einen Platz, die Games tummeln sich jetzt alle in einem Forum.
  1. Thema

Neues Thema


  1. @Golem Der Titel ist irreführend

    Autor: Cybso 10.12.21 - 13:56

    @Golem, der Titel ist irreführend. Der Angriff wurde zwar offenbar im Kontext von Minecraft gefunden, bedroht aber potentiell jede Software, die log4j2 einsetzt - und das sind viele!

    Ich hätte die Meldung fast ignoriert, weil ich kein Minecraft spiele, obwohl es auch meine Systeme betrifft.

    Auch der Hinweis auf die Mitigation mittels "-Dlog4j2.formatMsgNoLookups=true" wäre hilfreich, weil sich das sehr schnell umsetzen lässt.



    1 mal bearbeitet, zuletzt am 10.12.21 13:57 durch Cybso.

  2. Re: @Golem Der Titel ist irreführend

    Autor: turbohuhn 10.12.21 - 14:37

    auch die betroffenen Versionen hätte man korrekt von der Apache-Seite übernehmen müssen.
    Betroffen sind nämlich alle Versionen wo gilt: 2.0 <= Apache log4j <= 2.14.1

    Falls das jemand nicht genauer anschaut wiegt dieser sich bei so einer Meldung in falscher Sicherheit

  3. Re: @Golem Der Titel ist irreführend

    Autor: Cybso 10.12.21 - 14:38

    Achtung, die Mitigation funktioniert erst ab log4j 2.10.0

  4. Re: @Golem Der Titel ist irreführend

    Autor: sg (Golem.de) 10.12.21 - 14:49

    Die Headline ist jetzt angepasst.

    ---------
    Sebastian Grüner

    Golem.de

  5. Re: @Golem Der Titel ist irreführend

    Autor: sg (Golem.de) 10.12.21 - 14:50

    Is gefixed. Danke.

    ---------
    Sebastian Grüner

    Golem.de

  6. Re: @Golem Der Titel ist irreführend

    Autor: bofhl 13.12.21 - 12:39

    turbohuhn schrieb:
    --------------------------------------------------------------------------------
    > auch die betroffenen Versionen hätte man korrekt von der Apache-Seite
    > übernehmen müssen.
    > Betroffen sind nämlich alle Versionen wo gilt: 2.0 <= Apache log4j <=
    > 2.14.1
    >
    > Falls das jemand nicht genauer anschaut wiegt dieser sich bei so einer
    > Meldung in falscher Sicherheit

    Technisch sind ALLE Versionen von log4j betroffen! Denn auch die neuste Version hat immer noch den Leak-Verursachenden Code drinnen - und ein Fehler in der Konfigurationsdatei und schon funktioniert alles wie vorher!

    Und auch die alten Versionen können so aufgesetzt werden, dass die selben Probleme passieren - der Unterschied ist aber, man muss schon einiges unternehmen um zu solchen Leaks zu kommen. Kurz gesagt muss man da schon aktiv dieses Leak hinein-konfigurieren...

  1. Thema

Neues Thema


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. IT-Security-Administrator*in (m/w/d)
    Landkreis Tübingen, Tübingen
  2. Functional Safty Engineer (m/w/d)
    Schaeffler Technologies AG & Co. KG, Werdohl
  3. Informatiker / Software Engineer (w/m/d) Customer Service - IT-Systeme
    AIXTRON SE, Herzogenrath
  4. Senior IT Security Analyst (m/w/d)
    Schaeffler Technologies AG & Co. KG, Nürnberg

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. 499,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


  1. TADF Technologie: Samsung kauft Cynora in Bruchsal und entlässt alle
    TADF Technologie
    Samsung kauft Cynora in Bruchsal und entlässt alle

    Der Cynora-Chef wollte das deutsche Start-up zum Einhorn entwickeln. Nun wurden die Patente und die TADF-Technologie von Samsung für 300 Millionen Dollar gekauft und zerschlagen.

  2. Elektroauto: Hyundai Ioniq 6 bekommt ein stromlininienförmiges Design
    Elektroauto
    Hyundai Ioniq 6 bekommt ein stromlininienförmiges Design

    Hyundai hat das Design des Ioniq 6 gezeigt. Mit einer aerodynamischen Karosserie und einem Innenraum mit Wohlfühlambiente soll das Elektroauto Kunden von Tesla abwerben.

  3. Displays: Sony baut 4K-Monitor mit KVM-Switch im Playstation-Stil
    Displays
    Sony baut 4K-Monitor mit KVM-Switch im Playstation-Stil

    Sonys Inzone M9 kann mittels HDMI 2.1 und Displayport an PCs und Konsolen angeschlossen werden. Die Kombination aus 4K und 144 Hz ist selten.


  1. 11:56

  2. 11:49

  3. 11:36

  4. 11:30

  5. 11:20

  6. 11:00

  7. 10:46

  8. 10:30