Log4-J-Schwachstelle

Hinweis: In dem Thema Log4-J-Schwachstelle gibt es 4 Antworten. Der letzte Beitrag () befindet sich ganz unten auf dieser Seite.

    Hat jemand hinreichende Kenntnisse von der Schwachstelle und kann einem aufschreiben, ob und gegebenenfalls wo einen Privatnutzer die Schwachstelle auf dem eigenen Rechner treffen kann?

    Für den Inhalt des Beitrages 295350 haftet ausdrücklich der jeweilige Autor: matbhm

    Die Sicherheitslücke kommt mit Java logging daher das über die log4j bibliothek bereitgestellt wird. Am einfachsten wäre wohl nachzusehen ob auf dem System log4j als Paket installiert ist: rpm -qa|grep -l log4j . Wenn das Paket nicht existiert sollte man auch nicht betroffen sein von dem Problem. Zudem muß das System von außen erreichbar sein z.B. über einen laufenden apache Webserver. Mehr steht hier:

    Schutz vor Log4j-Lücke – was hilft jetzt und was eher nicht
    "Warnstufe Rot" für Anwender und Firmen, doch was bedeutet das konkret? So testen Sie Dienste auf die Log4j-Lücke und reduzieren ihr Risiko vor Angriffen.
    www.heise.de

    Für den Inhalt des Beitrages 295354 haftet ausdrücklich der jeweilige Autor: rainer42

    Erst einmal vielen Dank für die Antwort. Ich wollte schon schreiben, dass das Unfug sein müsse, weil - soviel meinte ich verstanden zu haben - log4j eher Bestandteil irgendwelcher Programme sei, ein irgendwo eingearbeiteter Schnipsel und weniger als rpm-Paket zu finden sein würde. Deswegen hatte ich danach gar nicht gesucht. Aber - es zeigt meine Ahnungslosigkeit, deswegen ja auch hier der Thread - tatsächlich gibt es log4j als rpm-Datei, sogar jede Menge. Sind bei mir zum Glück nicht installiert. Es gibt nur die perl-log-log4perl-Datei, die bei mir installiert ist. Ob und inwieweit dort log4j eingearbeitet ist, vermag ich nicht zu beurteilen.

    Für den Inhalt des Beitrages 295365 haftet ausdrücklich der jeweilige Autor: matbhm

    Ach ja, die Artikel auf heise.de, golem.de waren mir bekannt, darüber hinaus selbstverständlich sämtliche Artikel in sämtlichen allgemeinen Nachrichtenportalen wie spiegel.de (erstaunlich ausführlich), focus.de, tagesspiegel.de usw. Aus den Artikeln bei heise- und golem.de ergibt sich aber auch nichts näheres, worauf der private User konkret achten soll. Deswegen mein Thread.

    Für den Inhalt des Beitrages 295366 haftet ausdrücklich der jeweilige Autor: matbhm

    rainer42: Sorry, ich hatte zwar so ziemlich sämtliche Artikel zu dem Thema förmlich verschlungen - aber den von Dir verlinkten tatsächlich noch nicht. Während aus den anderen Heise-Artikeln sich ein Risiko auch für Heimanwender ergeben sollte, ist das ja in dem von Dir verlinkten Artikel, den ich nunmehr dann doch erstmals gelesen habe, schon sehr relativiert. Außerdem enthält der Artikel ja auch Anleitungen zur Überprüfungen des Systems. Daher nochmals Danke für den Link.

    Für den Inhalt des Beitrages 295372 haftet ausdrücklich der jeweilige Autor: matbhm