HansHiasl Steckt dieser Bug in einem definierten Paket?
Alles mit v2.x und <=2.15.0 ist "böse". v1.x ist davon nicht betroffen da das Feature da noch nicht drin war.
Was kann alles passieren durch diesen Bug?
Im Privatnetz und ohne direkten Aussenkontakt zum bösen Internet (und ohne sonstige Trojaner im Privatnetz) passiert erstmal herzlich wenig.
Problematisch wird das erst wenn die betroffene Anwendung nach außen offen ist oder du evil employees hast "die mal spielen".
Das tl;dr von diesem Bug ist:
Der Logger, der eigentlich nur Text loggen sollte, kann diesen Text interpretieren. In diesem Scenario kann man ihm eine URL unterjubeln die nicht nur interpretiert, sondern hier auch noch ausgeführt wird wenn ein passendes Java-binary dahinter steht. Das alles ohne jeglichen Schutz, einfach so, ohne Netz und doppelten Boden. Alles weitere kann man sich ausmalen.
Der Normalanwender, in obigem Scenario, kann vorerst weiterschlafen - problematisch ist das trotzdem da der Bug in so vielen Dingen drin stecken kann die man auch erstmal nicht im Blick hat und die evtl. nie vom Hersteller gepatcht werden. Es reicht hier halt schon aus die betreffende Java-Klasse nur "drin" zu haben ohne sie aktiv zu nutzen.
Anmerkung: ^ alles stark vereinfacht
Edit: Typos