====== Log4shell ======
Am 9. Dezember 2021 veröffentlichte Apache eine schwerwiegende Sicherheitslücke namens [[https://nvd.nist.gov/vuln/detail/CVE-2021-44228|Log4shell]] (und andere Log4j-bezogene Sicherheitslücken).
===== Download =====
Wie man seine Dienste schnell scannt, grundsätzlich mit log4j-scan von fullhunt, aber unter Verwendung von cisagov:
git clone https://github.com/cisagov/log4j-scanner.git
cd log4-scanner/
==== Anforderungen ====
* python
* python-requests
* python-termcolor
* python-pycryptodome
===== URL-Liste erstellen =====
Am einfachsten ist es, eine Liste aller URLs zu erstellen, die du überprüfen möchtest:
nano urls.txt
https://digitalprivacy.diy
https://meet.digitalprivacy.diy
https://searx.digitalprivacy.diy
===== Überprüfe deine Urls =====
python log4j-scan.py -l urls.txt --waf-bypass --run-all-tests
oder nur eine Url
python log4j-scan.py -u https://digitalprivacy.diy --waf-bypass --run-all-tests