log4j 2.15?

[PerennialNovice]

Hi,

<log4j2.version>2.15.0</log4j2.version>

bedeutet diese Zeile, dass nicht die aktuellste log4j2 benutzt wird?

Der logpresso Scanner behauptet fündig geworden zu sein:

[*] Found CVE-2021-45046 (log4j 2.x) vulnerability in C:\Program Files\MediathekView\MediathekView.jar, log4j 2.15.0

Dachte mit der 13.8.1 wäre das behoben?

[alex1702]

2.15.0 ist die erste gefixte Version. Mittlerweile sind aber noch 2 weitere überarbeitete Versionen 2.16.0 und 2.17.0 raus gekommen. Diese waren aber zum Zeitpunkt vom Release 13.8.1 noch nicht veröffentlicht und vermutlich nicht mal geplant. Also ja, es wird nicht die aktuellste gepatchte Version genutzt.

[PerennialNovice]

Danke für die schnelle und ausführliche Antwort :)

[alex1702]

Soweit ich das verstanden habe haben 2.16.0 und 2.17.0 nur einen DoS Angriffsvektor behoben. Da MediathekView aber ein Client ist, wäre ein Crash durch ausnutzen der Lücke eher harmlos. In der nächsten Version wird natürlich Log4j aktualisiert auf die neuste Version, bzw. die nightlys sollten schon aktuell sein.