@TomyLobo Mir ist bekannt, dass beides von der Apache Foundation ist und log4net dir Portierung für .NET auf Windows.
Aber ob log4net sicher ist wusste ich nicht, ich habe mit miner DuckDuckGo-Suche nichts gefunden.

Danke für den Hinweis :-)

Erledigt und :willkommen:

[quote=GwenDragon post_id=394056 time=1659692557 user_id=34155]
Au weh, log4*-DLLs sind sogar in Banking/Finanzsoftware von Buhl drin. Was ein Mist. gut, dass die Bankingsoftware automatisch aktualisiert wurde.
[/quote]

log4j ist eine Java-Bibliothek.
Bei Java haben Bibliotheken die Dateierweiterung ".jar" und nicht ".dll".
Wenn du da also wirklich log4*-[i]DLLs[/i] hast, ist das viel wahrscheinlicher [url=https://logging.apache.org/log4net/]log4net[/url] und nicht log4j.
Laut dieser Stackoverflow-Antwort hat der gemeinsame Hersteller von den beiden Bibliotheken sogar explizit dazu Stellung genommen:
https://stackoverflow.com/a/70383237

Macht auch Sinn, denn die Lücke benötigt ja JNDI und das ist ne Java-Geschichte.

(Nochmal mit richtigem User. @Mods, mein Gast-Post darüber kann gern gelöscht werden :))

Die Frage ist 1. wann wird die Lücke geschloßen? und 2. wie wird sie geschloßen?
Nicht das dann die entsprechenden Anwendungen nicht mehr richtig funktionieren. Wäre nicht das erstemal, das beim Schließen einer Lücke eine andere geöffnet wird oder die Software nicht mehr rund läuft. Aktuelles Beispiel ist ja das Druckerproblem durch das Windowsupdate.

Au weh, log4*-DLLs sind sogar in Banking/Finanzsoftware von Buhl drin. Was ein Mist. gut, dass die Bankingsoftware automatisch aktualisiert wurde.

Microsoft ist schon dabei die Windows-Sicherheit Anwendungsversion 4.18.2207.4 auszurollen.
Derzeit aber noch nicht für alle. Geht wohl wieder Step by Step.

Darin enthalten auch eine MpCmdRun.exe vom 3.08.2022. Ob die Lücke da geschlossen wurde, kann ich nicht sagen.
Letztes Update war im Juni. Also durchaus möglich.

http://download.windowsupdate.com/d/msdownload/update/software/defu/2022/08/updateplatform_310b01eab9a8842eb0028e0243318d6cd84d3e04.exe

[i]Danke an drew84[/i]

Wenn ich schon Computerbild höre könnte ich mich übergeben um es höflich auszudrücken.
Wieder so ein Artikel bei dem die Wahrheit verbogen wird.
Die Log4J Sicherheitslücke trifft nicht nur den Defender, da sind alle Virenscanner betroffen und nicht nur die.
Hier mal lesen
https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Empfehlungen-nach-Angriffszielen/Webanwendungen/log4j/log4j_node.html
Normalerweise würde ich als Microsoft Computerbild verklagen.

Typischer reißerischer Computer-Brülld-Artikel.

Der Defender installiert gar nichts.
Angreifer kommen da über die Log4j-Lücke (Java-Schrott halt) auf PCs, das ist sowieso alles zu spät.
Suns/Oracles Java war schon immer ein Einfallstor über die Jahre, bei mir kommt das deswegen nicht auf die Büro-PCs.

Dies gelingt über gängige Wege wie Phishing-Mails.

Also wer die öffnet, ist selber schuld.
Da brauche ich kein Antivirus-Programm eines Drittanbieters zu installieren. ;)

Der Windows Defender soll Windows eigentlich schützen. Kriminelle missbrauchen den Gratis-Virenschutz jetzt aber zur Installation von Malware!
https://www.computerbild.de/artikel/cb-News-Sicherheit-Windows-Defender-installiert-Malware-33278749.html

Merkwürdig!