Hallo, es gibt auch die Shibboleth Announcement Mailing Liste (announce@shibboleth.net). Auf dieser gab es folgende Meldung: We’re getting a lot of noise about this, just trying to save more emails here. Shibboleth does not use log4j. We ship a bridge for it to slf4j but that's not vulnerable, the bug is in log4j itself. We allow (in theory) the IdP to be manipulated to log to log4j through the slf4j API but we don't ship that or provide any code or examples for doing that. The Jetty on Windows package is equipped with logback for logging, not log4j. Otherwise, we have nothing to do with the servlet container configuration and logging choices you yourselves may or may not have made, or any other packaging of our software that may include log4j from other sources, that's outside our scope as a project. -- Scott Viele Grüße Frank On 13.12.21 07:29, Jan Niehusmann wrote:
Moin,
On Mon, Dec 13, 2021 at 06:01:07AM +0000, Stollenwerk, André wrote:
kann hier jemand sagen, ob auch die LibLog4Shib2, also eine C++ Implementation welche sich stark an der LibLog4J orientiert und in der Shibboleth Anbindung eingesetzt wird (vermutlich häufiger in der RWTH) auch von der Lücke betroffen ist. Hier haben wir nämlich aktuell ein Fragezeichen im Gesicht... Ich kann im Quellcode keinerlei Anzeichen finden, dass dort ein ähnlicher Mechanismus implementiert ist, der angreifbar sein könnte.
Insbesondere ist der Umgang mit einem %m-Pattern ziemlich einfach gehalten:
struct MessageComponent : public PatternLayout::PatternComponent { virtual void append(std::ostringstream& out, const LoggingEvent& event) { out << event.message; } };
Also nichts von wegen JNDI, kein Replacement irgendwelcher Pattern im zu loggenden Event - schaut sauber aus.
(Das soll keine Aussage zur Sicherheit dieser Library insgesamt sein - ich kenne sie einfach nicht und habe mir nur diese eine Stelle angeschaut.)
Grüße, Jan _______________________________________________ rwth-security mailing list -- rwth-security@lists.rwth-aachen.de To unsubscribe send an email to rwth-security-leave@lists.rwth-aachen.de