In der ersten Folge des Jahres sprechen wir noch einmal über Log4Shell bzw. die im Dezember bekannt gewordene Verwundbarkeit der Java Logging Library Log4j. Wie mittlerweile deutlich geworden ist, sind die Auswirkungen massiv und zahlreiche Internetdienste waren betroffen. Wir besprechen, worum es eigentlich geht, was man jetzt tun sollte und was wir für Zukunft daraus lernen können.

Links:

CVE-2021-44228 "Log4Shell"

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44228

Apache Log4j Security Vulnerabilities

https://logging.apache.org/log4j/2.x/security.html

Apache Log4j Change Log:

https://logging.apache.org/log4j/2.x/changes-report.html

Log4Shell: RCE 0-day exploit found in log4j 2, a popular Java logging package

https://www.lunasec.io/docs/blog/log4j-zero-day/

Kommentar zu Log4j: Es funktioniert wie spezifiziert

https://www.heise.de/meinung/Kommentar-zu-log4j-Es-funktioniert-wie-spezifiziert-6294476.html

Open Source Web App um einen Exploit-String zu generieren, der bei erfolgreicher Ausführung eine E-Mail schickt

https://canarytokens.org/

Log4j in Gradle

https://blog.gradle.org/log4j-vulnerability