1. Foren
  2. Kommentare
  3. Security-Forum
  4. Alle Kommentare zum Artikel
  5. › Java: Log4J-Lücke bedroht…

"Wenig Voraussetzungen für erfolgreiches Ausnutzen"

Neue Foren im Freiraum! Raumfahrt und freie Software haben jetzt einen Platz, die Games tummeln sich jetzt alle in einem Forum.
  1. Thema

Neues Thema


  1. "Wenig Voraussetzungen für erfolgreiches Ausnutzen"

    Autor: Raskil2000 11.12.21 - 10:19

    Außer einer 3 Jahre alten Javaversion und einem Server auf dem das läuft mit ausgehendem Internetzugang.
    Für mich wirkt das eher wie eine neue Google Maps API für schlechte Sicherheitsarchitekturen.

  2. Re: "Wenig Voraussetzungen für erfolgreiches Ausnutzen"

    Autor: anonymous_bosch 11.12.21 - 12:45

    Das CVE ist doch für die aktuelle log4j2 Version (vor dem patch) gewesen? Man kann die lib auch mit aktuellen Java Versionen nutzen.

    Also ne einfacher auszunutzende Sicherheitslücke wär höchstens 1234 als Passwort zu nutzen...

  3. Re: "Wenig Voraussetzungen für erfolgreiches Ausnutzen"

    Autor: andy848484 11.12.21 - 13:11

    Aktuelle Java Versionen scheinen nicht betroffen zu sein

    https://www.lunasec.io/docs/blog/log4j-zero-day/

    Zitat
    "JDK versions greater than 6u211, 7u201, 8u191, and 11.0.1 are not affected by the LDAP attack vector"

  4. Re: "Wenig Voraussetzungen für erfolgreiches Ausnutzen"

    Autor: Raskil2000 11.12.21 - 13:29

    anonymous_bosch schrieb:
    --------------------------------------------------------------------------------
    > Das CVE ist doch für die aktuelle log4j2 Version (vor dem patch) gewesen?
    > Man kann die lib auch mit aktuellen Java Versionen nutzen.

    Wann man die betroffenen log4j-Versionen mit aktuellen Java Versionen nutzt, dann kann man die Schwachstelle aber nicht mehr ausnutzen.

  5. Re: "Wenig Voraussetzungen für erfolgreiches Ausnutzen"

    Autor: anonymous_bosch 11.12.21 - 14:57

    andy848484 schrieb:
    --------------------------------------------------------------------------------
    > Aktuelle Java Versionen scheinen nicht betroffen zu sein
    >
    > www.lunasec.io
    >
    > Zitat
    > "JDK versions greater than 6u211, 7u201, 8u191, and 11.0.1 are not affected
    > by the LDAP attack vector"

    Danke, das hab ich wohl übersehen

  6. Re: "Wenig Voraussetzungen für erfolgreiches Ausnutzen"

    Autor: z3r0t3n 11.12.21 - 22:02

    Raskil2000 schrieb:
    --------------------------------------------------------------------------------
    > anonymous_bosch schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Das CVE ist doch für die aktuelle log4j2 Version (vor dem patch)
    > gewesen?
    > > Man kann die lib auch mit aktuellen Java Versionen nutzen.
    >
    > Wann man die betroffenen log4j-Versionen mit aktuellen Java Versionen
    > nutzt, dann kann man die Schwachstelle aber nicht mehr ausnutzen.

    Das ist so nicht richtig.

    Es wird komplizierter als einfach nur nen Link reinschreiben. Ist aber unter Umständen (zB wenn die Application auf Tomcat läuft) weiterhin möglich.

  7. Re: "Wenig Voraussetzungen für erfolgreiches Ausnutzen"

    Autor: GL 12.12.21 - 17:48

    Also ich konnte die Lücke mit JDK 14 nachvollziehen. Es ist übrigens im Grunde auch kein log4j-Problem, sondern ein allgemeines JNDI-Problem. Details siehe unter https://mbechler.github.io/2021/12/10/PSA_Log4Shell_JNDI_Injection/
    Dort steht auch:

    "TLDR: A current Java runtime version won’t safe you. Do patch."

  1. Thema

Neues Thema


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Softwareentwickler (m/w/d) Cloud
    EPLAN GmbH & Co. KG, Monheim am Rhein, Stuttgart
  2. IT-Projektleiter (m/w/d)
    Bayerisches Landesamt für Steuern, München, Nürnberg, Regensburg
  3. Senior Analyst Corporate Strategy (m/w/d)
    akf bank GmbH & Co KG, Wuppertal, Berlin, Frankfurt am Main, Hamburg, Stuttgart
  4. Software Manager Automotive mit Schwerpunkt Cyber Security (m/w/d)
    Schaeffler Technologies AG & Co. KG, Herzogenaurach

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 42,99€ (UVP 49,99€)
  2. 38,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


  1. WIK: Netzausbausteuer für Netflix und Co. schadet den Nutzern
    WIK
    Netzausbausteuer für Netflix und Co. schadet den Nutzern

    Werden Contentanbieter wie Netflix in Europa gezwungen, sich am Netzausbau zu beteiligen, schadet das am Ende den Nutzern. Das ergibt eine Analyse des WIK.

  2. Subventionen: Lindner will lieber Kitas statt Elektroautos fördern
    Subventionen
    Lindner will lieber Kitas statt Elektroautos fördern

    In der Debatte um die künftige Förderung von Elektroautos legt Finanzminister Christian Lindner nach. Die Kritik lässt nicht lange auf sich warten.

  3. Statt 5G: Russland nutzt 700-MHz-Frequenzband weiter für analoges TV
    Statt 5G
    Russland nutzt 700-MHz-Frequenzband weiter für analoges TV

    Der Frequenzbereich wurde um ein Jahr für die bisherige Nutzung verlängert. Die russischen Netzbetreiber wollten dort 5G ausbauen.


  1. 19:09

  2. 18:54

  3. 18:15

  4. 18:00

  5. 17:45

  6. 17:30

  7. 17:15

  8. 17:00