log4j auch in 13.8.1
-
hallo, leider enthält die Version 13.8.1 immer noch eine Sicherheitslücke:
C:\Users\ECM\Downloads\Log4j Scan\Log4j Scan>log4j2-scan.exe "C:\Program Files\MediathekView" Logpresso CVE-2021-44228 Vulnerability Scanner 2.6.1 (2021-12-23) Scanning directory: C:\Program Files\MediathekView [*] Found CVE-2021-45046 (log4j 2.x) vulnerability in C:\Program Files\MediathekView\MediathekView.jar, log4j 2.15.0 Scanned 73 directories and 365 files Found 1 vulnerable files Found 0 potentially vulnerable files Found 0 mitigated files Completed in 3.22 secondsViele Grüße,
Eckhard -
hallo, leider enthält die Version 13.8.1 immer noch eine Sicherheitslücke:
C:\Users\ECM\Downloads\Log4j Scan\Log4j Scan>log4j2-scan.exe "C:\Program Files\MediathekView" Logpresso CVE-2021-44228 Vulnerability Scanner 2.6.1 (2021-12-23) Scanning directory: C:\Program Files\MediathekView [*] Found CVE-2021-45046 (log4j 2.x) vulnerability in C:\Program Files\MediathekView\MediathekView.jar, log4j 2.15.0 Scanned 73 directories and 365 files Found 1 vulnerable files Found 0 potentially vulnerable files Found 0 mitigated files Completed in 3.22 secondsViele Grüße,
Eckhard -
Dieser Beitrag wurde gelöscht!
-
-
Dieser Beitrag wurde gelöscht!
@oida Die Angreifbarkeit einer Clientapplikation ist tatsächlich fraglich. Aber die Entwickler haben genau wegen des Log4j-Themas eine neue Version released. Es kann sein, dass zukünftig aber Virenscanner etc. die Anwendung in Quarantäne nehmen. Daher sollte man das Problem trotzdem angehen.
-
@oida Die Angreifbarkeit einer Clientapplikation ist tatsächlich fraglich. Aber die Entwickler haben genau wegen des Log4j-Themas eine neue Version released. Es kann sein, dass zukünftig aber Virenscanner etc. die Anwendung in Quarantäne nehmen. Daher sollte man das Problem trotzdem angehen.
-
Dieser Beitrag wurde gelöscht!
@oida
In den Änderungshinweisen zur kommenden Version 13.9.0 steht es schon drin. -
@oida Die Angreifbarkeit einer Clientapplikation ist tatsächlich fraglich. Aber die Entwickler haben genau wegen des Log4j-Themas eine neue Version released. Es kann sein, dass zukünftig aber Virenscanner etc. die Anwendung in Quarantäne nehmen. Daher sollte man das Problem trotzdem angehen.
@eckhardm sagte in log4j auch in 13.8.1:
@oida Die Angreifbarkeit einer Clientapplikation ist tatsächlich fraglich. Aber die Entwickler haben genau wegen des Log4j-Themas eine neue Version released. Es kann sein, dass zukünftig aber Virenscanner etc. die Anwendung in Quarantäne nehmen. Daher sollte man das Problem trotzdem angehen.
Wir haben vorzeitig die neue Version released weil einige User panisch wurden obwohl kein wirkliches Risiko bestand. Die noch vorhandene „Lücke“ mit der jetzigen log4j2 Version in 13.8.1 ist noch weniger relevant.
Wir haben in den alten Versionen eine Nutzungsmöglichkeit gefunden: Dazu musste der Nutzer am Rechner sitzend in einem Dialog in ein Textfeld händisch das Angriffskommando eintippen, dann wurde das an der Stelle auch umgesetzt. In meiner Bewertung ist dem Nutzer dann aber auch nicht mehr zu helfen wenn er das tut 😳 Mit 13.8.1 ist das schon behoben, der Rest wird mit 13.9 aktualisiert.
-
@oida
In den Änderungshinweisen zur kommenden Version 13.9.0 steht es schon drin.Hier gibt es einen Scanner für Windows 32/64 aus einem github-Issue als zip-Datei 13.9.0 ist sauber, 13.8.1 moderat :D
README Lesen! -
Hier gibt es einen Scanner für Windows 32/64 aus einem github-Issue als zip-Datei 13.9.0 ist sauber, 13.8.1 moderat :D
README Lesen!Dieser Beitrag wurde gelöscht! -
Dieser Beitrag wurde gelöscht!
Dieser Beitrag wurde gelöscht!
