'log4j' --> kein Bugfix ???
'log4j' --> kein Bugfix ???
Moin, moin Leute,
ich habe natürlich auch das mit dem 'log4j' Problem gehört. Also dass man per JNDI Remote Code ausführen kann. Als Betreiber eines kleinen Homeservers mache ich mir dabei natürlich so meine Gedanken wie relevant das für mich sein könnte. Gibt es denn da keinen Bugfix? Zumindest für Apache würde ich doch einen erwarten, oder?
Ich habe seit Bekanntwerden keinen Hinweis auf irgendwelche Bugfixes für meine derzeit installierten Pakete gesehen. Es sei denn ich habe irgendetwas übersehen.
Was meint ihr?
Ciao
Tom
ich habe natürlich auch das mit dem 'log4j' Problem gehört. Also dass man per JNDI Remote Code ausführen kann. Als Betreiber eines kleinen Homeservers mache ich mir dabei natürlich so meine Gedanken wie relevant das für mich sein könnte. Gibt es denn da keinen Bugfix? Zumindest für Apache würde ich doch einen erwarten, oder?
Ich habe seit Bekanntwerden keinen Hinweis auf irgendwelche Bugfixes für meine derzeit installierten Pakete gesehen. Es sei denn ich habe irgendetwas übersehen.
Was meint ihr?
Ciao
Tom
Zuletzt geändert von JTH am 16.12.2021 14:29:48, insgesamt 1-mal geändert.
Grund: Ins Unterforum „Sicherheit“ verschoben
Grund: Ins Unterforum „Sicherheit“ verschoben
Re: 'log4j' --> kein Bugfix ???
Apache Tomcat ja, Apache httpd nein (kein Java).tscott hat geschrieben:16.12.2021 09:58:53Zumindest für Apache würde ich doch einen erwarten, oder?
Jesus saves. Buddha does incremental backups.
Windows ist doof, Linux funktioniert nicht • Don't break debian! • Wie man widerspricht
Windows ist doof, Linux funktioniert nicht • Don't break debian! • Wie man widerspricht
Re: 'log4j' --> kein Bugfix ???
@Mods
Kann das evtl. jemand nach "Sicherheit" verschieben, eine Neuigkeit ist es ja nicht.
Kann das evtl. jemand nach "Sicherheit" verschieben, eine Neuigkeit ist es ja nicht.
log4j-Lücke
Hier noch ein Beitrag zu diesem Thema:
https://www.heise.de/news/Log4j-Luecke- ... ag.beitrag
https://www.heise.de/news/Log4j-Luecke- ... ag.beitrag
Re: log4j-Lücke
Wenn du schon auf Heise verlinkst, kannst du auch gleich auf deren "spezielles" Log4J-Angebot verlinken:KP97 hat geschrieben:16.12.2021 14:39:06Hier noch ein Beitrag zu diesem Thema:
https://www.heise.de/news/Log4j-Luecke- ... ag.beitrag
https://www.heise.de/thema/Log4j
Und falls es hier noch nicht erwähnt wurde, der Patch auf 2.15 ist anscheinend nicht ausreichend, inzwischen gibt es 2.16.
- jph
- Beiträge: 1053
- Registriert: 06.12.2015 15:06:07
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Greven/Westf.
Re: 'log4j' --> kein Bugfix ???
Update: der bereits ausgelieferte Fix ist noch nicht ausreichend – daher gab es heute einen Fix für den Fix.
https://security-tracker.debian.org/tra ... 2021-45046
https://security-tracker.debian.org/tra ... 2021-45046
Re: 'log4j' --> kein Bugfix ???
ich hab mal den anderen log4j-Thread hier eingegliedert.
Jesus saves. Buddha does incremental backups.
Windows ist doof, Linux funktioniert nicht • Don't break debian! • Wie man widerspricht
Windows ist doof, Linux funktioniert nicht • Don't break debian! • Wie man widerspricht