CVSS 10/10

CVE-2021-44228 - Apache Log4j Zero-Day vulnerability

Daniel Miedler
von Daniel Miedler
1 Min. Lesezeit
13. Dezember 2021

Beschreibung:

Die als Standard angesehene Log Bibliothek Log4j für Java ist von einer kritischen Sicherheitslücke betroffen. Die Sicherheitslücke kann ausgenützt werden indem eine manipulierte Anfrage an den Server gesendet wird (dabei kann jeder Parameter, welcher ins Log geschrieben wird, verwendet werden). Problematisch ist, dass Log4j von vielen Applikationen im Hintergrund verwendet wird und somit nicht auf den ersten Blick ersichtlich ist, ob Log4j verwendet wird.


Betroffene Systeme:

Sämtliche Java Applikationen die Log4j von Version 2.0-beta9 bis 2.14.1 einsetzen Version 1.2.x ist von dieser Schwachstelle nicht betroffen


Behobene Versionen:

Versionen ab 2.15.0-rc2 gelten als gefixte Versionen. Es wird empfohlen, die Release-Version (2.15.0) zu verwenden.


Empfohlene Maßnahmen:

Auf allen Geräten welche Applikationen bereitstellen sollte geprüft werden, ob es sich um Java Applikationen handelt. Anschließend sollte auf den Systemen geprüft werden ob Dateien mit dem Namen apache-log4j-2* bzw. log4j* gefunden werden. Wenn es für die betroffene Systeme Updates gibt sollten diese zeitnah eingespielt werden bzw. falls es keine Updates vom Hersteller gibt und die Version 2.10 oder aktueller von Log4j im Einsatz ist kann als schnelle Lösung die Systemeigenschaft "log4j2.formatMsgNoLookups" auf “true” gesetzt werden oder die JndiLookup-Klasse aus dem Klassenpfad entfernt werden (etwa mit dem Befehl zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class). Primär sollte dies auf den Servern durchgeführt werden die direkt aus dem Internet erreichbar sind. Es gibt eine inoffizielle Liste mit Maßnahmen zur Behebung der Schwachstelle von allen bisher bekannten Applikationen, welche von der Log4j Schwachstelle betroffen sind. https://gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592  Sollte es kein Update vom Hersteller geben und kein Workaround verfügbar sein empfehlen wir, dass zumindest der Zugriff von extern auf diese Systeme gesperrt wird, sofern das möglich ist.


Einschätzung der Bedrohung:

Laut diversen Quellen wird die Sicherheitslücke aktiv ausgenützt. Daher ist die Bedrohung als sehr kritisch einzustufen


Weiterführende Links:

https://logging.apache.org/log4j/2.x/security.html  https://gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592 
Nächster Blogpost
← TI - Multiple Vulnerabilities in Sonicwall SMA Products
Vorheriger Blogpost
CVE-2021-44228 - Apache Log4j Zero-Day vulnerability →
Update: CVE-2021-44228/CVE-2021-45046 - Apache Log4j Zero-Day vulnerability
CVSS 10/10

Update: CVE-2021-44228/CVE-2021-45046 - Apache Log4j Zero-Day vulnerability

15. Dezember 2021 1 Min. Lesezeit
Update 2: CVE-2021-44228/CVE-2021-45046/CVE-2021-45105 - Apache Log4j Zero-Day vulnerability
CVSS 10/10

Update 2: CVE-2021-44228/CVE-2021-45046/CVE-2021-45105 - Apache Log4j Zero-Day vulnerability

20. Dezember 2021 1 Min. Lesezeit
CVE-2022-26500 - Veeam Distribution Service
CVSS 10/10

CVE-2022-26500 - Veeam Distribution Service

15. März 2022 1 Min. Lesezeit

Updates for innovators:
Abonnieren Sie unseren Blog.