Log4Shell Patch per Exploit (CVE-2021-44228 + CVE-2021-45046)

Kommentare zu folgendem Beitrag: Log4Shell Patch per Exploit (CVE-2021-44228 + CVE-2021-45046)

1 „Gefällt mir“

Aber ich würde unbedingt davon abraten, den Patch über den von LunaSec bereitgestellten JDNI-Server zu verteilen. Dazu sollte man unbedingt einen eigenen JNDI-Server aufsetzen. Ansonsten könnte man sich, sollte der Patchploit von LunaSec selbst oder durch einen externen Angreifer ausgetauscht werden, ganz schnell Schadcode einfangen!

So siehts nämlich aus…

Und was mir persönlich bei LunaSec etwas säuerlich aufstößt, ist die insgesamt sehr kommerzielle Werbung, die man dort für sich selber betreibt…man versucht nämlich unterschwellig dem Kunden seinen kompletten, eigenen Framework / Mainframe schmackhaft zu machen und dafür dann teuren Support zu verkaufen…! Hier zu buchen:

https://lunasec.youcanbook.me/

Hinzu kommt, dass deren eigener Reparatur-Exploit noch sehr buggy ist und der verwendete Scanner zuviele false / positives ausgibt!
Des weiteren bezeichnen LunaSec ihren eigenen Exploit (Fix) nur als vorübergehende Reparatur und nicht als endgültige Lösung - heißt zu gut deutsch → Flickerei
Die Frage ist also, was dann passiert, wenn die finalen Patches der Hersteller, Hoster usw. erscheinen? Funktionieren diese dann auf dem notdürftig geflickten System? Darüber lässt sich bei LunaSec keine Informationen herauslocken…