Diskussion: Apache Log4j (Log4Shell)

Har dykt upp en rätt allvarlig zero day i en tjänst (Log4J) som ingår i Java-biblioteket. Den är patchad i version 2.15.0 eller nyare.

Väldigt många webbtjänster som bygger på Java har Log4J aktiverat. Anledningen till att luckan är allvarlig är att den ger full åtkomst till servern genom att man bara får den att logga en särskild sträng, vilket är enkelt gjort.

Luckan upptäcktes i det vilda i Minecraft där det var möjligt att utnyttja den genom att bara inkludera strängen i ett chattmeddelande för att få full åtkomst till servern.

Security warning: New zero-day in the Log4j Java library is already being exploited | ZDNet
Inside the log4j2 vulnerability (CVE-2021-44228)

De flesta servrar lär bli patchade fort, men jag undrar hur vanlig tjänsten är bland tex routrar, skrivare och dylikt. Dvs enheter som bara står och går utan att bli uppdaterade av de flesta och där en klar majoritet fortfarande saknar någon funktion för automatiska uppdateringar. Tippar på att det inte är särskilt vanligt, men det lär säkert finnas undantag.

 

Flyttade in inläggen hit ;-)

Security Now avsnitt 849 tar upp detta; Security Now (Audio): SN 849: Log4j & Log4Shell - Apple AirTag Abuse, Amazon Outage and Cloud Dependence, New WordPress Threats Log4j & Log4Shell | TWiT.TV