Update 2: CVE-2021-44228/CVE-2021-45046/CVE-2021-45105 - Apache Log4j Zero-Day vulnerability

Beschreibung:

Update zum Ticket "TI - CVE-2021-44228 - Apache Log4j Zero-Day vulnerability - 10". Die empfohlene Version 2.16.0 welche sämtliche Schwachstellen, die bis jetzt aufgetreten sind, beheben sollte, ist leider von einer weiteren gravierenden Schwachstelle betroffen. Durch eine manipulierte Anfrage kann auch hier ein Denial of Service (DoS) Angriff erfolgen. Leider ist auch diese Schwachstelle leicht von extern und ohne Authentifizierung ausnützbar. Weiters wurde diese Schwachstelle mit einer neuen CVE Kennung versehen: CVE-2021-45105 Die Version 1.x von Log4j ist von diesen Schwachstellen nicht betroffen, da diese Version die Lookup Komponente nicht implementiert hat.

Betroffene Systeme:

Sämtliche Java Applikationen, die Log4j von Version 2.0-beta9 bis 2.16.0 einsetzen.

Behobene Versionen:

Es wird empfohlen, die Release-Version (2.17.0) zu verwenden. Diese funktioniert allerdings nur mit Java 8. Falls Java 7 im Einsatz ist, sollte auf Version 2.12.3 aktualisiert werden (Diese ist noch in Entwicklung, sollte aber relativ zeitnah zur Verfügung stehen).

Empfohlene Maßnahmen:

So schnell wie möglich auf Version 2.17.0 aktualisieren.

Einschätzung der Bedrohung:

Laut diversen Quellen wird die Sicherheitslücke bereits aktiv ausgenutzt.

Weiterführende Links:

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-45105  https://logging.apache.org/log4j/2.x/security.html