Beschreibung:
Die als Standard angesehene Log Bibliothek Log4j für Java ist von einer kritischen Sicherheitslücke betroffen. Die Sicherheitslücke kann ausgenützt werden indem eine manipulierte Anfrage an den Server gesendet wird (dabei kann jeder Parameter, welcher ins Log geschrieben wird, verwendet werden). Problematisch ist, dass Log4j von vielen Applikationen im Hintergrund verwendet wird und somit nicht auf den ersten Blick ersichtlich ist, ob Log4j verwendet wird.
Betroffene Systeme:
Sämtliche Java Applikationen die Log4j von Version 2.0-beta9 bis 2.14.1 einsetzen Version 1.2.x ist von dieser Schwachstelle nicht betroffen
Behobene Versionen:
Versionen ab 2.15.0-rc2 gelten als gefixte Versionen. Es wird empfohlen, die Release-Version (2.15.0) zu verwenden.
Empfohlene Maßnahmen:
Auf allen Geräten welche Applikationen bereitstellen sollte geprüft werden, ob es sich um Java Applikationen handelt. Anschließend sollte auf den Systemen geprüft werden ob Dateien mit dem Namen apache-log4j-2* bzw. log4j* gefunden werden. Wenn es für die betroffene Systeme Updates gibt sollten diese zeitnah eingespielt werden bzw. falls es keine Updates vom Hersteller gibt und die Version 2.10 oder aktueller von Log4j im Einsatz ist kann als schnelle Lösung die Systemeigenschaft "log4j2.formatMsgNoLookups" auf “true” gesetzt werden oder die JndiLookup-Klasse aus dem Klassenpfad entfernt werden (etwa mit dem Befehl zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class). Primär sollte dies auf den Servern durchgeführt werden die direkt aus dem Internet erreichbar sind. Es gibt eine inoffizielle Liste mit Maßnahmen zur Behebung der Schwachstelle von allen bisher bekannten Applikationen, welche von der Log4j Schwachstelle betroffen sind. https://gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592 Sollte es kein Update vom Hersteller geben und kein Workaround verfügbar sein empfehlen wir, dass zumindest der Zugriff von extern auf diese Systeme gesperrt wird, sofern das möglich ist.
Einschätzung der Bedrohung:
Laut diversen Quellen wird die Sicherheitslücke aktiv ausgenützt. Daher ist die Bedrohung als sehr kritisch einzustufen
Weiterführende Links:
https://logging.apache.org/log4j/2.x/security.html https://gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592