Follow
#Log4j gepatcht - aber was sind die Lehren daraus?
Die ausgenutzte Funktion von Log4j war problematisch, funktionierte allerdings wie angegeben. #Log4Shell wurde durch die Übergabe von nicht vertrauenswürdigen Eingaben an Log4j erst möglich. Wer https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Kompendium_Einzel_PDFs_2021/03_CON_Konzepte_und_Vorgehensweisen/CON_10_Entwicklung_von_Webanwendungen_Edition_2021.pdf?__blob=publicationFile vom #BSI beachtet, war durch Sanitarisierung der Eingaben vor Log4Shell geschützt.
Merke: Wer Software von Dritten benutzt, sollte prüfen, ob man sie angemessen sicher eingebunden hat.
@bsi Gilt insbesondere für Produkte von Microsoft, Apple, Google und Co?
