'log4j' --> kein Bugfix ???

Alles rund um sicherheitsrelevante Fragen und Probleme.
Antworten
tscott
Beiträge: 105
Registriert: 30.12.2020 22:16:18

'log4j' --> kein Bugfix ???

Beitrag von tscott » 16.12.2021 09:58:53

Moin, moin Leute,

ich habe natürlich auch das mit dem 'log4j' Problem gehört. Also dass man per JNDI Remote Code ausführen kann. Als Betreiber eines kleinen Homeservers mache ich mir dabei natürlich so meine Gedanken wie relevant das für mich sein könnte. Gibt es denn da keinen Bugfix? Zumindest für Apache würde ich doch einen erwarten, oder?

Ich habe seit Bekanntwerden keinen Hinweis auf irgendwelche Bugfixes für meine derzeit installierten Pakete gesehen. Es sei denn ich habe irgendetwas übersehen.

Was meint ihr?

Ciao
Tom
Zuletzt geändert von JTH am 16.12.2021 14:29:48, insgesamt 1-mal geändert.
Grund: Ins Unterforum „Sicherheit“ verschoben
Nach oben
Benutzeravatar
jph
Beiträge: 1049
Registriert: 06.12.2015 15:06:07
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Greven/Westf.

Re: 'log4j' --> kein Bugfix ???

Beitrag von jph » 16.12.2021 10:03:30

Das Update erfolgte bereits am 11.12.

https://security-tracker.debian.org/tra ... 2021-44228
Nach oben
Benutzeravatar
TRex
Moderator
Beiträge: 8071
Registriert: 23.11.2006 12:23:54
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: KA

Re: 'log4j' --> kein Bugfix ???

Beitrag von TRex » 16.12.2021 10:28:48

tscott hat geschrieben: ↑ zum Beitrag ↑
16.12.2021 09:58:53
 Zumindest für Apache würde ich doch einen erwarten, oder?
Apache Tomcat ja, Apache httpd nein (kein Java).
Jesus saves. Buddha does incremental backups.
Windows ist doof, Linux funktioniert nichtDon't break debian!Wie man widerspricht
Nach oben
tscott
Beiträge: 105
Registriert: 30.12.2020 22:16:18

Re: 'log4j' --> kein Bugfix ???

Beitrag von tscott » 16.12.2021 10:54:29

TRex hat geschrieben: ↑ zum Beitrag ↑
16.12.2021 10:28:48
tscott hat geschrieben: ↑ zum Beitrag ↑
16.12.2021 09:58:53
 Zumindest für Apache würde ich doch einen erwarten, oder?
Apache Tomcat ja, Apache httpd nein (kein Java).
Alles klar. Verstehe jetzt. Dankesehr.

Ciao
Tom
Nach oben
KP97
Beiträge: 3428
Registriert: 01.02.2013 15:07:36

Re: 'log4j' --> kein Bugfix ???

Beitrag von KP97 » 16.12.2021 14:21:26

@Mods
Kann das evtl. jemand nach "Sicherheit" verschieben, eine Neuigkeit ist es ja nicht.
Nach oben
KP97
Beiträge: 3428
Registriert: 01.02.2013 15:07:36

log4j-Lücke

Beitrag von KP97 » 16.12.2021 14:39:06

Hier noch ein Beitrag zu diesem Thema:
https://www.heise.de/news/Log4j-Luecke- ... ag.beitrag
Nach oben
Benutzeravatar
MSfree
Beiträge: 10759
Registriert: 25.09.2007 19:59:30

Re: log4j-Lücke

Beitrag von MSfree » 16.12.2021 14:43:29

KP97 hat geschrieben: ↑ zum Beitrag ↑
16.12.2021 14:39:06
 Hier noch ein Beitrag zu diesem Thema:
https://www.heise.de/news/Log4j-Luecke- ... ag.beitrag
Wenn du schon auf Heise verlinkst, kannst du auch gleich auf deren "spezielles" Log4J-Angebot verlinken:
https://www.heise.de/thema/Log4j

Und falls es hier noch nicht erwähnt wurde, der Patch auf 2.15 ist anscheinend nicht ausreichend, inzwischen gibt es 2.16.
Nach oben
Benutzeravatar
jph
Beiträge: 1049
Registriert: 06.12.2015 15:06:07
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Greven/Westf.

Re: 'log4j' --> kein Bugfix ???

Beitrag von jph » 16.12.2021 16:06:42

Update: der bereits ausgelieferte Fix ist noch nicht ausreichend – daher gab es heute einen Fix für den Fix.

https://security-tracker.debian.org/tra ... 2021-45046
Nach oben
Benutzeravatar
TRex
Moderator
Beiträge: 8071
Registriert: 23.11.2006 12:23:54
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: KA

Re: 'log4j' --> kein Bugfix ???

Beitrag von TRex » 16.12.2021 16:26:17

ich hab mal den anderen log4j-Thread hier eingegliedert.
Jesus saves. Buddha does incremental backups.
Windows ist doof, Linux funktioniert nichtDon't break debian!Wie man widerspricht
Nach oben
Antworten

Zurück zu „Sicherheit“