Warnstufe Rot: Kritische Schwachstelle in Java-Bibliothek Log4J

Das BSI schreibt:

Die Protokollierungsbibliothek Log4J dient der performanten Aggregation von Protokolldaten einer Anwendung. Die veröffentlichte Schwachstelle ermöglicht es Angreifenden ab den Versionen 2.10 auf dem Zielsystem eigenen Programmcode auszuführen, was zur Kompromittierung des Zielsystems führen kann. Dabei kann die Schwachstelle, durch die Verwendung einer speziellen Zeichenkette, trivial ausgenutzt werden. Die Schwachstelle kann nicht nur zum Nachladen von weiterer Schadsoftware genutzt werden, sondern auch für die Exfiltration von vertraulichen Daten (z. B. Umgebungsvariabeln). Hierfür ist kein Nachladen von externer Schadsoftwarenotwendig, sodass diese Ausnutzung mit einer (einfachen) Anfrage durchgeführt werden kann. Eine ähnliche Schwachstelle ist auch für die nicht mehr im Support befindlichen Versionen 1.x gemeldet worden, hierbei scheint die Ausnutzung allerdings komplexer zu sein. Da die Versionen 1.x jedoch den End-of-life (EOL) Status erreicht haben, wird es zu diesen keine Sicherheitsupdates mehr geben.

Weitere Informationen:

https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Empfehlungen-nach-Angriffszielen/Webanwendungen/log4j/log4j_node.html

https://www.heise.de/news/Roter-Alarm-Log4j-Zero-Day-Luecke-bedroht-Heimanwender-und-Firmen-6292863.html

https://www.heise.de/news/Kritische-Zero-Day-Luecke-in-log4j-gefaehrdet-zahlreiche-Server-und-Apps-6291653.html

https://www.golem.de/news/log4shell-bsi-vergibt-hoechste-warnstufe-fuer-log4j-luecke-2112-161734.html

https://www.heise.de/news/Log4j-2-16-0-verbessert-Schutz-vor-Log4Shell-Luecke-6294053.html

Schutz vor schwerwiegender Log4j-Lücke – was jetzt hilft und was nicht:

https://www.heise.de/ratgeber/Schutz-vor-schwerwiegender-Log4j-Luecke-was-jetzt-hilft-und-was-nicht-6292961.html

https://www.golem.de/news/log4j-luecke-warum-log4shell-so-gefaehrlich-ist-und-was-nicht-hilft-2112-161757.html

Betroffene Produkte (Liste unvollständig):

https://gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592

Publiziert am 12. Dezember 2021 von Nils Körner | Dieser Beitrag wurde unter IT-Sicherheit, Schadsoftware veröffentlicht. Setze ein Lesezeichen auf den Permalink.