Kritische 0-day Sicherheitslücke in Apache Log4j Bibliothek – Updates und Workarounds verfügbar


10. Dezember 2021

Beschreibung

Die populäre Open-Source Logging-Bibliothek Apache Log4j weist eine schwerwiegende 0-day-Sicherheitslücke auf, die sich durch simples Loggen eines speziellen Strings ausnützen lässt. Mittels JNDI wird ein Look-up auf einen von den Angreifer:innen kontrollierten Server ausgelöst und der zurückgelieferte Code ausgeführt. Entsprechender PoC-Exploit-Code wurde bereits auf GitHub veröffentlicht.

CVE-Nummern: CVE-2021-44228 (lt. Apache Log4j GitHub, derzeit noch nicht offiziell bestätigt)

CVSS Base Score: N/A

Auswirkungen

Ein erfolgreiches Ausnützen der Schwachstelle kann zu einer vollständigen Kompromittierung des betroffenen Systems führen.

Betroffene Systeme

  • Alle Apache log4j Versionen von 2.0 bis inkl. 2.14.1 und sämtliche Frameworks (z.B. Apache Struts2, Apache Solr, Apache Druid, Apache Flink, etc.), welche diese Versionen verwenden. Laut der Sicherheitsfirma LunaSec sind die JDK-Versionen 6u211, 7u201, 8u191, und 11.0.1 in der Default-Konfiguration nicht betroffen, da diese kein Laden einer Remote Codebase erlaubt. Ist jedoch die Option com.sun.jndi.ldap.object.trustURLCodebase auf true gesetzt, ist ein Angriff weiterhin möglich.

Abhilfe

Update von Apache Log4j auf log4j-2.15.0-rc2, da die ursprünglich als gefixt angegebene Version log4j-2.15.0-rc1 die Schwachstelle anscheinend nur unzureichend behebt. Sollte ein Upgrade nicht zeitnah möglich sein, können Betreiber:innen verwundbarer Systeme als Workaround den Server mit der JVM-Option -Dlog4j2.formatMsgNoLookups=true starten.

Hinweis

Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und dabei insbesondere auf automatische Updates zu setzen. Regelmäßige Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.


Informationsquelle(n):

LunaSec Artikel
https://www.lunasec.io/docs/blog/log4j-zero-day/

Cyber Kendra Artikel
https://www.cyberkendra.com/2021/12/worst-log4j-rce-zeroday-dropped-on.html

PoC-Exploit auf GitHub
https://github.com/tangxiaofeng7/apache-log4j-poc

Apache Advisory
https://github.com/advisories/GHSA-jfh8-c2jp-5v3q

Weiterlesen: Cert.at

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.