Ansicht umschalten
Avatar von Exxtreme2
  • Exxtreme2

mehr als 1000 Beiträge seit 18.10.2008

Re: Sorry...

mario klebsch schrieb am 11.01.2022 21:01:

XXIII schrieb am 06.01.2022 19:59:

...aber anzunehmen, dass man irgendwie durch ein individuell anderes Verhalten, etwas dazu beitragen hätte, diesen Fehler in log4j zu vermeiden, ist sehr anmaßend.

Gerade weil der Fehler jahrelang unentdeckt bliebt und weil die Bibliothek so weit verbreitet ist, fange ich doch als Entwickler nicht an und untersuchte log4j auf Fehler.

Das sehe ich anders. Offensichtlich ist die Funktion, dass log4j die zu loggenden Strings verändern kann, weit bekannt, denn angeblich sind so viele Programme auf diese Funktion angewiesen, dass man die nicht einfach wieder ausbauen kann.

Aber wenn ich ein Logging-Framework sehe, von dem ich weiß, dass es die zu loggenden Daten nicht unverfälscht ins Log schreibt, dann gehen da bei mir alle Warn-Lampen an. Und ich bin mir sicher, da bin ich nicht der einzige, der Bauchschmerzen bekommt, wenn ihm dieses Verhalten bewusst wird.

73, Mario

Ähhh, so funktioniert der Exploit nicht in log4j2. Der funktioniert so: log4j2 parst die Strings, die es schreibt und wenn es in diesem String eine jndi-Ressource findet dann versucht es diese Ressource anzuzapfen. Sprich, der Angreifer muss nur einen String mit einer jndi-Adresse an eine verwundbare Anwendung schicken und dafür sorgen, dass die Anwendung das irgendwie loggt. Oft reicht es schon diesen String in ein Login-Formular als Benutzername einzugeben und dann versuchen sich einzuloggen. Oft ist es so, dass Anwendungen fehlerhafte Login-Versuche loggen und voila, die Anwendung könnte gehackt werden.

MfG

Bewerten
- +
Ansicht umschalten