Folge 28: Log4j Sicherheitslücke "Log4Shell"

In der ersten Folge des Jahres sprechen wir noch einmal über Log4Shell bzw. die im Dezember bekannt gewordene Verwundbarkeit der Java Logging Library Log4j. Wie mittlerweile deutlich geworden ist, sind die Auswirkungen massiv und zahlreiche Internetdienste waren betroffen. Wir besprechen, worum es eigentlich geht, was man jetzt tun sollte und was wir für Zukunft daraus lernen können. Links: CVE-2021-44228 "Log4Shell" https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44228 Apache Log4j Security Vulnerabilities https://logging.apache.org/log4j/2.x/security.html Apache Log4j Change Log: https://logging.apache.org/log4j/2.x/changes-report.html Log4Shell: RCE 0-day exploit found in log4j 2, a popular Java logging package https://www.lunasec.io/docs/blog/log4j-zero-day/ Kommentar zu Log4j: Es funktioniert wie spezifiziert https://www.heise.de/meinung/Kommentar-zu-log4j-Es-funktioniert-wie-spezifiziert-6294476.html Open Source Web App um einen Exploit-String zu generieren, der bei erfolgreicher Ausführung eine E-Mail schickt https://canarytokens.org/ Log4j in Gradle https://blog.gradle.org/log4j-vulnerability