Beschreibung:
Update zum Ticket "TI - CVE-2021-44228 - Apache Log4j Zero-Day vulnerability - 10 ". Die empfohlene Version 2.15.0, in welcher die Schwachstelle behoben sein sollte, hat das Problem leider auch nicht gänzlich gelöst. Dazu kommt noch, dass bis Version 2.15.0 eine zusätzliche DoS Schwachstelle existiert. Wenn nur die Systemeigenschaft "log4j2.formatMsgNoLookups" auf “true” gesetzt wurde oder nur "%m{nolookups}" im ThreadContext gesetzt wurde, ist die Schwachstelle leider weiterhin ausnutzbar. Daher sollte Log4j so schnell wie möglich auf Version 2.16.0 aktualisiert werden, denn in dieser Version wurde die JNDI Funktionalität sowie die "message lookup patterns" deaktiviert Weiters wurde diese Schwachstelle mit einer neuen CVE Kennung versehen: CVE-2021-45046
Betroffene Systeme:
Sämtliche Java Applikationen, die Log4j von Version 2.0-beta9 bis 2.15.0 einsetzen.
Behobene Versionen:
Es wird empfohlen, die Release-Version (2.16.0) zu verwenden. Diese funktioniert allerdings nur mit Java 8. Falls Java 7 im Einsatz ist, sollte auf Version 2.12.2 aktualisiert werden (Diese ist noch in Entwicklung, sollte aber relativ zeitnah zur Verfügung stehen).
Empfohlene Maßnahmen:
So schnell wie möglich auf Version 2.16.0 aktualisieren.
Einschätzung der Bedrohung:
Laut diversen Quellen wird die Sicherheitslücke bereits aktiv ausgenutzt.
Weiterführende Links:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-45046 https://logging.apache.org/log4j/2.x/security.html