# Log4j Sicherheitslücke



## bene2808 (8. Jan 2022)

Moin Leute,

ich habe mich vor Kurzem gefragt, ob eine kleine Anwendung, die ich für einen Kumpel entwickelt habe, von Log4Shell betroffen sein könnte. Nach meiner Recherche halte ich es für seeehr unwahrhscheinlich, bin mir aber trotzdem nicht ganz sicher; deswegen frage ich hier.
Direkt verwende ich Log4j nicht, sondern java.util.logging; sollte also kein Problem sein, richtig? In den maven Dependencies habe ich org.apache.pdfbox in 2.0.23 und junit in 4.13.2. Ersteres hängt von fontbox ab, das von commons-logging und das anscheinend von log4j. Allerdings steht in der pom von commons-logging nur log4j, nicht log4j-core. Wird da dann log4j-core doch irgendwie benutzt? Außerdem ist das ja eine optionale Dependency. Nutzt pdfbox am Ende log4j überhaupt? Wie kann ich das herausfinden? Auf maven central werden ja auch Vulnerabilities angezeigt. Bei pdfbox 2.0.23 scheint aber keine Vulnerability im Zusammenhang mit Log4Shell zu stehen. Heißt das, ich bin safe? Außerdem ist die Sicherheitslücke ja anscheinend nur vorhanden, wenn das Projekt speziell konfiguriert wurde. Ich habe da nichts konfiguriert. Bin ich dann safer?

Sorry für so viele Fragen. Hoffe, ihr könnt da Licht ins Dunkel für mich bringen! 😁


----------



## Oneixee5 (8. Jan 2022)

org.apache.pdfbox in Version 2.0.23 steht auf rot in https://mvnrepository.com/artifact/org.apache.pdfbox/pdfbox.
Ganz unabhängig von Log4Shell sollte man immer mal wieder überprüfen ob es neue Sicherheitslücken in einer Bibliothek gibt: https://jeremylong.github.io/DependencyCheck/dependency-check-maven/
Auf die Was-Wäre-Wenn-Spielchen würde ich mich gar nicht einlassen, bau ein Update und fertig. Zumal du ja keinen Einfluss darauf hast wie das Logging wirklich konfiguriert wird, wenn du die Anwendung einmal weitergegeben hast.


----------



## OnDemand (8. Jan 2022)

Oneixee5 hat gesagt.:


> Ganz unabhängig von Log4Shell sollte man immer mal wieder überprüfen ob es neue Sicherheitslücken in einer Bibliothek gibt: https://jeremylong.github.io/DependencyCheck/dependency-check-maven/


Interessant, kann man das einbauen sodass es beim build jedesmal prüft und den build abbricht wenn was nicht iO ist? Check ich nicht so ganz wie das funktioniert


----------



## LimDul (8. Jan 2022)

OWASP Dependency-Check
					

This plug-in can independently execute a <a href="http://www.owasp.org/index.php/OWASP_Dependency_Check" target="_blank" rel="nofollow noopener noreferrer">Dependency-Check</a> analysis and visualize results. Dependency-Check is a utility that identifies project dependencies and checks if there...




					plugins.jenkins.io


----------



## Oneixee5 (8. Jan 2022)

NicoDeluxe hat gesagt.:


> Interessant, kann man das einbauen sodass es beim build jedesmal prüft und den build abbricht wenn was nicht iO ist? Check ich nicht so ganz wie das funktioniert


Ja das geht, es wäre sogar möglich automatisch zu einer neueren Version zu wechseln. Erwarte aber bitte keine detaillierte Anleitung. Maven ist ganz furchtbar und ich wurstel mich da immer so durch. Mit Hilfe von Blogs usw.


----------

