Sicherheitslücke

Log4J Sicherheitslücke beheben (CVE-2021-44228 / Log4Shell / Zero-Day / Remote Code Execution )

Submitted by Gast (nicht überprüft) on Di, 12/14/2021 - 11:55

Um die Sicherheitslücke für Apache Solr 8.x zu schließen:

1. Umgebungsvariable setzen

export LOG4J_FORMAT_MSG_NO_LOOKUPS=true

2. Dateien ersetzen

Alte Dateien (in /opt/solr/server/lib/ext)

log4j-1.2-api-2.14.1.jar
log4j-api-2.14.1.jar
log4j-core-2.14.1.jar
log4j-slf4j-impl-2.14.1.jar
log4j-web-2.14.1.jar

ersetzen durch neue Dateien:

Wie und wo kann ich die aktuellen Sicherheitslücken am schnellsten erfahren und schließen?

Submitted by Gast (nicht überprüft) on Mi, 09/18/2013 - 15:22

Hallo zusammen. Ich möchte, wenn irgendeine Sicherheitslücke erkannt wird, dass ich schnellstmöglich mitbekomme, damit ich die Lücke schließen kann. Bei der Anzahl der Software, was man so als Anwender einsetzt, kann es schnell passieren, dass andere die Sicherheitslücke finden und ausnutzen.

Gibt es eine zuverlässige Webseite, wo die Meldungen zu allen gängigen Programmen veröffentlicht werden mit den Tipps, wie man diese Lücken schließen kann bzw. Link zu Patch-Dateien usw.?

Der Zufallszahlengenerator von Debian:)

Submitted by Gast (nicht überprüft) on Sa, 08/24/2013 - 10:47

Hey Leute, auf einem lustigem Comic gestoßen. 2008 kam es heraus, dass der Zufallszahlengenerator von Debian-Variante von OpenSSL jede Menge Sicherheitslücken hatte und die Zufallszahlen doch nicht so zufällig waren. Das Problem ist, wenn der Generator nicht gut genug ist und die Zahlen nicht zufällig genug, bringen einige sichere kryptographische Verfahren nichts. Die sind dann leicht knackbar, weil die Zufallszahlen sich eingrenzen lassen. Hier ist ein Bild dazu:)