Wie funktioniert die #Sicherheitslücke von #Log4J? Wie schlimm ist sie?
Am letzten Freitag, dem 10. Dezember 2021, wurde als CVE-2021-44228 eine Lücke der Java-Logging-Bibliothek Log4J bekannt. Log4J genießt im Java-Umfeld extrem hohe Verbreitung. Die Lücke hat einen „perfekten“ #CVSS Score von 10.0 . In Umgangssprache: Sie ist katastrophal schlimm. Wir erläutern die grundlegende Funktionsweise und zeigen eine angreifbare Demo-Anwendung auf Basis von Spring Boot 2.6.1 . Zum Abschluß diskutieren wir zwei mögliche Vermeidungsstrategien (Patch auf 2.15.0 oder höher, Verbieten von Sonderzeichen in Benutzereingaben).