Ressourcenzentrum zur Log4j-Sicherheitslücke

1/6/22:

Am Dienstag haben wir einen drastischen Anstieg beim Abruf von 2.17.0 verzeichnet, dem gestern ein ähnlich hoher Anstieg beim Abruf von 2.17.1 folgte. Dies ist schwer zu erklären, da .1 mittlerweile vor deutlich mehr als einer Woche veröffentlicht wurde. Warum stürzten sich plötzlich alle auf die Version .0, obwohl die Version .1 verfügbar war?

Taiwan und China nutzen weiterhin in hohem Umfang Versionen mit bekannten Schwachstellen. Wie aus der Grafik links unten hervorgeht ist dies von Anfang an in etwa konstant.

--Brian

Tweets von Brian_Fox

1/6/22:

Taiwan und China nutzen weiterhin in hohem Umfang Versionen mit bekannten Schwachstellen. Wie aus der Grafik links unten hervorgeht ist dies von Anfang an in etwa konstant.

--Brian

FTC-Warnung infolge von Log4j: Sichern Sie Ihre Software-Supply-Chain

Eine fehlende Reaktion auf Log4shell-Probleme kann zu mehr als nur Ausfallzeiten oder Reputationsschäden führen. US-amerikanische Aufsichtsbehörden erwägen Klagen zur Durchsetzung der Sicherheit.

WEITER LESEN

Log4j Exploit Explained - Everything You Need to Know to Protect Yourself

Unternehmen müssen auf Log4j achten – nicht nur bei der Software, die sie produzieren, sondern auch bei der Software, die sie nutzen. Jede in Java geschriebene Software enthält wahrscheinlich irgendwo im Stack Log4j.

Jetzt ansehen

Kritische Log4j-Schwachstelle wird weiterhin in 40 % aller Fälle heruntergeladen

Die Java- und Apache Software Foundation-Experten von Sonatype geben ein weiteres Update zur Entwicklung der Log4j-Schwachstelle sowie zu den verschiedenen Varianten, die wir verzeichnen, und teilen neue Trends bei Log4j-Downloads.

Jetzt ansehen

Nexus Vulnerability Scanner

Erzeugen Sie eine Software Bill of Materials (SBOM) und katalogisieren Sie alle Komponenten in Ihrer Anwendung.

JETZT SCANNEN

Sonatype Lift

Finden und beheben Sie kritische Probleme bezüglich Sicherheit, Leistung, Zuverlässigkeit und Stilistik im Entwicklercode.

KOSTENLOS TESTEN

OSS Index

Erkennen Sie öffentlich bekannt gewordene Sicherheitslücken innerhalb der Abhängigkeiten Ihres Projekts

WEITERE INFORMATIONEN

Sonatype-Updates

Blog

Kritische neue Zero-Day-Schwachstelle in beliebter Log4j-Bibliothek entdeckt

WEITER LESEN

ARTIKEL

Log4Shell-Hilfe für Central-Publisher

WEITER LESEN

Blog

Unterstützung der Open-Source-Community beim Finden, Fixen und Beseitigen von Problemen mit Log4j

WEITER LESEN

Video

Analyse der Log4j-Sicherheitslücke

Jetzt ansehen

Alle Log4j- und Logback-Fehler, die wir bisher kennen, und warum Sie Version 2.15 unbedingt loswerden müssen

ARTIKEL

Haben Sie ein Upgrade auf log4j 2.16 vorgenommen? Überraschung: Es gibt eine 2.17 zur Behebung der DoS-Schwachstelle.

WEITER LESEN

Video

Kritische neue Zero-Day-Schwachstelle in beliebter Log4j-Bibliothek betrifft Anwendungen in großem Umfang

Jetzt ansehen

FORUM

Forum zu Log4j in der Sonatype-Community

Jetzt mitmachen

Video

Log4j mit Sonatype finden und fixen

WEITER LESEN

CVE-2021-44228 (kritisch):

Ursprüngliche log4j-CVE, mit der alles begann. Wirkt sich nur auf die Versionen 2.x von „org.apache.logging.log4j.log4j-core“ aus: <2.15.0 betroffen.

CVE-2021-4104 (mittelschwer):

Weniger schwerwiegende Variante von CVE-2021-44228, die sich nur auf log4j 1.x auswirkt.Wirkt sich auf alle Versionen von einer gänzlich anderen Gruppe/Artefakt aus: „log4j:log4j“. Betrifft nicht „log4j-core“ (das sind die Versionen 2.x).

CVE-2021-44228 (kritisch):

Ursprüngliche log4j-CVE, mit der alles begann. Wirkt sich nur auf die Versionen 2.x von „org.apache.logging.log4j.log4j-core“ aus: <2.15.0 betroffen.

CVE-2021-4104 (mittelschwer):

CVE-2021-45046 (HOCH):

DoS-Schwachstelle, von der log4j-core-Versionen <=2.15.0 betroffen sind, aber nicht 2.16.0.

Sonatype-2021-4517 oder auch bekannt als CVE-2021-42550 (mittelschwer):

Ähnlich wie CVE-2021-4104, wirkt sich jedoch auf „logback-classic“ und „logback-core“ aus, da Logback auf log4j 1.x basiert. Die Sonatype-ID basiert auf diesem Thema: https://jira.qos.ch/browse/LOGBACK-1591

CVE-2021-45046 (HOCH):

DoS-Schwachstelle, von der log4j-core-Versionen <=2.15.0 betroffen sind, aber nicht 2.16.0.

Sonatype-2021-4517 oder auch bekannt als CVE-2021-42550 (mittelschwer):

Sonatype-2021-4560 (hoch):

Betrifft log4j-Versionen 2.x bis einschließlich 2.15.0. Die gefixte Version ist 2.16.0. Die Schwachstelle basiert auf dem Blog von Praetorian. In dieser Nachrichtenmeldung sind weitere Informationen zusammengefasst. Derzeit im Fast-Track-Verfahren, da die vollständige Offenlegung von Apache aussteht. Weitere Einzelheiten werden zu gegebener Zeit bekannt gegeben.

Software Composition Analysis

Container- und Infrastruktursicherheit

Analyse der Code-Qualität

Repository-MANAGEMENT

Eine umfassende Plattform

Tarife und Preise

Für Profis

Für Industriezweige

Inhalte

KUNDENPORTAL

Integrationen und KOSTENLOSE TOOLS

Über uns

Kontakt

Log4j Exploit-Updates

Als Verwalter von Maven Central arbeiten unsere Teams rund um die Uhr daran, zu gewährleisten, dass die Welt zuverlässig und rasch auf die neuesten Log4shell-Fixes zugreifen kann.

Log4j Download-Dashboard

4,588,330

36% (10,564)

4,588,330

36% (10,564)

Neueste Erkenntnisse

FTC-Warnung infolge von Log4j: Sichern Sie Ihre Software-Supply-Chain

Log4j Exploit Explained - Everything You Need to Know to Protect Yourself

Kritische Log4j-Schwachstelle wird weiterhin in 40 % aller Fälle heruntergeladen

Kostenlose Tools, die Ihnen jetzt weiterhelfen

Nexus Vulnerability Scanner

Sonatype Lift

OSS Index

„Diese neue Log4j-Sicherheitslücke wird wahrscheinlich ein weiteres "Mega"-Ereignis in der Zeitleiste bedeutender Schwachstellen sein. Es ist das am weitesten verbreitete Logging-Framework im Java-Ökosystem.“

—Brian Fox, CTO von Sonatype, in The Daily Swig

Sonatype-Updates

Blog

Kritische neue Zero-Day-Schwachstelle in beliebter Log4j-Bibliothek entdeckt

ARTIKEL

Log4Shell-Hilfe für Central-Publisher

Blog

Unterstützung der Open-Source-Community beim Finden, Fixen und Beseitigen von Problemen mit Log4j

Video

Analyse der Log4j-Sicherheitslücke

ARTIKEL

Haben Sie ein Upgrade auf log4j 2.16 vorgenommen? Überraschung: Es gibt eine 2.17 zur Behebung der DoS-Schwachstelle.

Video

Kritische neue Zero-Day-Schwachstelle in beliebter Log4j-Bibliothek betrifft Anwendungen in großem Umfang

FORUM

Forum zu Log4j in der Sonatype-Community

Video

Log4j mit Sonatype finden und fixen

Sie haben Fragen zu Log4j? Wenden Sie sich damit an die Sonatype-Community.

Sie haben Fragen zu Log4j? Wenden Sie sich damit an die Sonatype-Community.

Dokumentation und Recherche von Sonatype

„Das ist so, als ob jemand herausfindet, dass er mit einem Brief, den er in Ihren Briefkasten wirft und auf dem eine bestimmte Adresse steht, alle Türen in Ihrem Haus öffnen kann.“

—Brian Fox, CTO von Sonatype, auf BBC

Ressourcen aus dem Umfeld der Software-Community

Die Log4shell-CVE von Mitre

Die Log4j-Seite der Apache Foundation mit Einzelheiten

Die Log4shell-CVE von Mitre

Die Log4j-Seite der Apache Foundation mit Einzelheiten

Vom Netherlands National Cybersecurity Center zusammengestellte Liste der betroffenen Software

Gartner-Artikel für Führungskräfte im Bereich Sicherheit

Vom Netherlands National Cybersecurity Center zusammengestellte Liste der betroffenen Software

Gartner-Artikel für Führungskräfte im Bereich Sicherheit

Produkte

KOSTENLOSE TOOLS

Lösungen

Ressourcen

Kundenportal

Company