bsd4me
Well-Known Member
Hallo,
vielleicht kann mir hier jemand einen Tipp geben. Ich habe eine Web Anwendung geschrieben, die bisher funktioniert hat. Um sie zu starten werden bis zu 2 Dateien hochgeladen, jeweils bis max 1.2 GB Groesse. Sie läuft innerhalb der Uni perfekt - nur von aussen wird man irgendwann von der Uni gesperrt (das ist so unter OsX und FreeBSD clients) und mit folgender Fehlermeldung (die habe ich von einem Admin zugeschickt bekommen):
HTTP_CRL-Log4j-Denial-of-Service-CVE-2021-45105
An uncontrolled recursion vulnerability has been reported in the StrSubstitutor class of Apache Log4j. This vulnerability is due to improper handling of logged messages when the logging configuration uses a non-default Pattern Layout with a Context Map Lookup, Map Lookup, or Structured Data Lookup. A remote attacker who can control an item in the Thread Context Map or a MapMessage or StructuredDataMessage can exploit this vulnerability by sending a specially crafted parameter to the target application. Successful exploitation could result in a denial-of-service condition due to a crash of the Log4j service. The message lookup pattern detection also applies to CVE-2021-45046.
Auf dem Webserver ist kein log4j installiert, und auch kein Java Interpreter. Der Webserver läuft in einer Jail. Es läuft die Apache Version apache24-2.4.46 mit mod perl. Auch bei mir zu Hause auf dem Client nix mit log4j. Ich nutze eine Fritzbox, die ich beim upload neu booten muss, um eine neue IP und Zugriff auf die Uni wieder zu bekommen.
Ich hoffe, ich konnte es einigermassen gut erklären - ich habe keine Idee mehr, warum das von extern nicht klappt - auch ander Uni scheint da erstmal ende zu sein...
Vielen Dank Euch!! VG Norbert
vielleicht kann mir hier jemand einen Tipp geben. Ich habe eine Web Anwendung geschrieben, die bisher funktioniert hat. Um sie zu starten werden bis zu 2 Dateien hochgeladen, jeweils bis max 1.2 GB Groesse. Sie läuft innerhalb der Uni perfekt - nur von aussen wird man irgendwann von der Uni gesperrt (das ist so unter OsX und FreeBSD clients) und mit folgender Fehlermeldung (die habe ich von einem Admin zugeschickt bekommen):
HTTP_CRL-Log4j-Denial-of-Service-CVE-2021-45105
An uncontrolled recursion vulnerability has been reported in the StrSubstitutor class of Apache Log4j. This vulnerability is due to improper handling of logged messages when the logging configuration uses a non-default Pattern Layout with a Context Map Lookup, Map Lookup, or Structured Data Lookup. A remote attacker who can control an item in the Thread Context Map or a MapMessage or StructuredDataMessage can exploit this vulnerability by sending a specially crafted parameter to the target application. Successful exploitation could result in a denial-of-service condition due to a crash of the Log4j service. The message lookup pattern detection also applies to CVE-2021-45046.
Auf dem Webserver ist kein log4j installiert, und auch kein Java Interpreter. Der Webserver läuft in einer Jail. Es läuft die Apache Version apache24-2.4.46 mit mod perl. Auch bei mir zu Hause auf dem Client nix mit log4j. Ich nutze eine Fritzbox, die ich beim upload neu booten muss, um eine neue IP und Zugriff auf die Uni wieder zu bekommen.
Ich hoffe, ich konnte es einigermassen gut erklären - ich habe keine Idee mehr, warum das von extern nicht klappt - auch ander Uni scheint da erstmal ende zu sein...
Vielen Dank Euch!! VG Norbert