Moin, On Mon, Dec 13, 2021 at 06:01:07AM +0000, Stollenwerk, André wrote:
kann hier jemand sagen, ob auch die LibLog4Shib2, also eine C++ Implementation welche sich stark an der LibLog4J orientiert und in der Shibboleth Anbindung eingesetzt wird (vermutlich häufiger in der RWTH) auch von der Lücke betroffen ist. Hier haben wir nämlich aktuell ein Fragezeichen im Gesicht...
Ich kann im Quellcode keinerlei Anzeichen finden, dass dort ein ähnlicher Mechanismus implementiert ist, der angreifbar sein könnte. Insbesondere ist der Umgang mit einem %m-Pattern ziemlich einfach gehalten: struct MessageComponent : public PatternLayout::PatternComponent { virtual void append(std::ostringstream& out, const LoggingEvent& event) { out << event.message; } }; Also nichts von wegen JNDI, kein Replacement irgendwelcher Pattern im zu loggenden Event - schaut sauber aus. (Das soll keine Aussage zur Sicherheit dieser Library insgesamt sein - ich kenne sie einfach nicht und habe mir nur diese eine Stelle angeschaut.) Grüße, Jan