Log4J Sicherheitslücke - einfach erklärt

Wie funktioniert die #Sicherheitslücke von #Log4J? Wie schlimm ist sie?

Am letzten Freitag, dem 10. Dezember 2021, wurde als CVE-2021-44228 eine Lücke der Java-Logging-Bibliothek Log4J bekannt. Log4J genießt im Java-Umfeld extrem hohe Verbreitung. Die Lücke hat einen "perfekten" #CVSS Score von 10.0 . In Umgangssprache: Sie ist katastrophal schlimm. Wir erläutern die grundlegende Funktionsweise und zeigen eine angreifbare Demo-Anwendung auf Basis von Spring Boot 2.6.1 . Zum Abschluß diskutieren wir zwei mögliche Vermeidungsstrategien (Patch auf 2.15.0 oder höher, Verbieten von Sonderzeichen in Benutzereingaben).

Details zur Log4J Sicherheitslücke zuerst gelesen auf: https://www.lunasec.io/docs/blog/log4...
Bewertung der Sicherheitslücke nach CVSS (Version 3.0): https://nvd.nist.gov/vuln/detail/CVE-...


Unsere Schulungen und Online Trainings zu Thema #Sicherheit:

REST & API Security:
https://www.predic8.de/api-rest-secur...