Log4j 2 Security Vulnerability

https://www.cisa.gov/news/2021/12/11/statement-cisa-director-easterly-log4j-vulnerability

Gibt es hier schon jemanden der übers Wochenende log4j updates in deren SW releasen musste?

IMO sollten da gerade Millionen CI Server neue Releases raushauen…

Schlaflose Nächte habe ich deswegen nicht gehabt. Dieser Fehler wäre dann ja auch schon länger enthalten. Wir machen hier aber alles mit Spring Boot und da ist der Fehler out-of-the-box nicht dabei.

Hier gibt es auch ein Tool: GitHub - hillu/local-log4j-vuln-scanner: Simple local scanner for vulnerable log4j instances

1 Like

Gute Sache dass ihr nicht auf Log4J 2 gesetzt habt :slight_smile:

Wenn die SW in der Cloud läuft, ist es relativ einfach/schnell das zu richten/upzudaten, wenn man allerdings einen Releasezyklus von 3 Monaten hat und Client SW ausliefert…