Die Apache-Entwickler haben in Version 2.16.0 von Log4j eine weitere Sicherheitslücke geschlossen, die nach dem ersten Versuch der Fehlerbehebung der Log4Shell-Schwachstelle in der 2.15.0er-Fassung offen stand. Der Patch war unvollständig, sodass bei bestimmten Logging-Optionen Angreifer die Software durch eine Denial-of-Service-Lücke hätten lahmlegen können.
Die Apache-Programmierer führen aus, dass die Lücke bei einer Logging-Konfiguration, deren Pattern-Layout ein sogenanntes Context Lookup (etwa der Form $${ctx:loginId}) oder ein Thread Context Map-Muster (beispielsweise die Optionen %X, %mdc oder %MDC) enthalten, auftreten könnte. Angreifer könnten dann mit manipulierten Daten, die sie zum verwundbaren Server schicken, einen Denial-of-Service auslösen (CVE-2021-45046, CVSS 3.7, niedrig).
Administratoren und Sicherheitsverantwortliche sollten verwundbare Log4j-Bibliotheken dringend aufspüren und aktualisieren. Immer mehr IT-Sicherheitsunternehmen vermelden umfangreiche Scans auf die Schwachstelle sowie das aktive Ausnutzen durch Cybergangs. Wer bereits ein Update auf Log4j 2.15.0 durchgeführt hat, sollte vor der sich ankündigenden Welle von Angriffen geschützt sein. Immerhin kann über die neue Lücke kein Code mehr eingeschleust und ausgeführt werden. Trotzdem sollte man die Aktualisierung auf Log4j 2.16.0 nicht auf die lange Bank schieben.
heise Security liefert nützliche Tipps, wie Sie Ihr Unternehmen vor Log4Shell-Angriffen schützen können: Im Live-Webinar "Die Log4j-Lücke – der Praxis-Ratgeber für Admins" am Montag kommender Woche, 20. Dezember 2021, um 11:00 Uhr gibt es dazu einen Überblick, eine Checklist und hilfreiche Empfehlungen für die Praxis.
Quelle: heise
Die Apache-Programmierer führen aus, dass die Lücke bei einer Logging-Konfiguration, deren Pattern-Layout ein sogenanntes Context Lookup (etwa der Form $${ctx:loginId}) oder ein Thread Context Map-Muster (beispielsweise die Optionen %X, %mdc oder %MDC) enthalten, auftreten könnte. Angreifer könnten dann mit manipulierten Daten, die sie zum verwundbaren Server schicken, einen Denial-of-Service auslösen (CVE-2021-45046, CVSS 3.7, niedrig).
Update rasch einspielen
Die Entwickler betonen, dass etwa die vorgeschlagene Umgehungsmaßnahme wie das Setzen der Option log4j2.noFormatMsgLookup auf true diesen Fehler nicht behebt. Das Entfernen der JNDI-Lookup-Klasse etwa via zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class helfe jedoch gegen die Lücke, wenn ein Update noch nicht möglich sei.Administratoren und Sicherheitsverantwortliche sollten verwundbare Log4j-Bibliotheken dringend aufspüren und aktualisieren. Immer mehr IT-Sicherheitsunternehmen vermelden umfangreiche Scans auf die Schwachstelle sowie das aktive Ausnutzen durch Cybergangs. Wer bereits ein Update auf Log4j 2.15.0 durchgeführt hat, sollte vor der sich ankündigenden Welle von Angriffen geschützt sein. Immerhin kann über die neue Lücke kein Code mehr eingeschleust und ausgeführt werden. Trotzdem sollte man die Aktualisierung auf Log4j 2.16.0 nicht auf die lange Bank schieben.
heise Security liefert nützliche Tipps, wie Sie Ihr Unternehmen vor Log4Shell-Angriffen schützen können: Im Live-Webinar "Die Log4j-Lücke – der Praxis-Ratgeber für Admins" am Montag kommender Woche, 20. Dezember 2021, um 11:00 Uhr gibt es dazu einen Überblick, eine Checklist und hilfreiche Empfehlungen für die Praxis.
Quelle: heise
