Nya erbjudanden i Webhallen Gamers Unite

Vilken Log4J version är säker?

Permalänk

Vilken Log4J version är säker?

Jag har hört att Log4J är osäker, men nyare version är säker.

Jag skulle vilja diskutera:

- Varför är just äldre version av Log4J osäker?
- Vilken version av Log4J är säker?

Permalänk
Medlem

Äldre är relativt.

1.x har inte sårbarheten eftersom den introducerades någon gång i 2.x.
2.3.2 (för Java 6), 2.12.4 (för Java 7), or 2.17.1(för Java 8 och senare) är inte drabbade.
https://logging.apache.org/log4j/2.x/security.html

När jag kollade mot listan här: https://github.com/cisagov/log4j-affected-db/blob/develop/SOF...
så hittade jag enbart APC(by SE) produkter här hemma, men p.g.a. deras ålder så är dom inte drabbade utav den här sårbarheten .

Där finns en möjlighet att köra kommandon på värden som nyttjar Log4j(om man lyckas ändra dess konfigurationsfil) och då kommer det att köras med samma behörighet som programmet som kör Log4j, vilket i vissa lägen kan köras med onödigt hög behörighet och således få tillgång till allt i värsta fall på värden och kanske därefter även nätverket.