log4j

by Micha ⌂, Bad Vilbel, Tuesday, December 14, 2021, 12:01 (38 days ago) @ H-1

Hallo H-1

aus aktuellem Anlass...ist JAG3D irgendwie davon betroffen?

Nein, JAG3D ist hiervon nicht betroffen. Zum einen wird die Bibliothek zum Loggen, log4j, nicht verwendet, siehe hierzu das lib-Verzeichnis von JAG3D (welches keine JAR mit dem Namen enthält). Zum anderen sind, soweit ich das verstehe, ausschließlich Applikationen betroffen, die eine Kommunikation mit dem Internet benötigen und bspw. eine HTTP-Verbindung zu einem Server aufbauen. JAG3D kommuniziert nicht mit einem externen Dienst über das Internet sondern ist eine Standaloneanwendung, die vollständig ohne eine Internetverbindung auskommt, siehe hierzu bspw. den Bericht bei Heise, Ein Angreifer kann die Sicherheitslücke ausnutzen, indem er manipulierte Anfragen an einen verwundbaren Server oder eine angreifbare Anwendung schickt. Beide Szenarien kann ich für JAG3D nicht erkennen.

Viele Grüße
Micha

--
applied-geodesy.org - OpenSource Least-Squares Adjustment Software for Geodetic Sciences

Tags:
Sicherheit, Log4j, Log4Shell


Complete thread:

 RSS Feed of thread