Die Log4Shell-Funktion ist Open Source. D.h. lizenzfrei nutzbar. Mehr oder weniger gewartet wurde dieses Java-Konstrukt von zwei ehrenamtlich tätigen ITlern als Hobby. Denen kann man auch keinen Vorwurf machen, das Problem sind die kommerziellen Softwareanbieter, die frei verfügbare Funktionen ohne ein umfassendes Sicherheitsaudit einfach übernehmen und in ihren Produkten einsetzen.
Das möchte ich mal meinen. Das ist kein Problem von Open/FLOSS Software, das ist ein Geizproblem bei den propietären Anbietern.
lizenzfrei nutzbar, ist nicht 100% korrekt. Jeder kann Log4J unter der Apache Lizenz und dessen Bedingungen Nutzen.
Des weiteren bin ich ein Befürworter von GPL(AGPL)/Copyleft Lizenzen. Das unterbindet dann so tendenzen irgendwas von irgendwo einzupflegen (BSD, Apache, WTFPL, Public Domain, Beerware, ... ) ohne es offenlegen zu müssen, und zwingt den verkäufer des Endprodukts auch zur GPL Lizenz und man kann zumindest nachschauen welche Bausteine/Libraries eingebunden wurden.
SmartMeter in den Verteilerschränken sämtlicher Haushalte drin und sie haben alle diese Log4Shell-Schwachstelle
hmm, ich hoffe mal, dass Java in Embedded Produkten doch noch nicht so weit verbreitet ist.