Log4j 2.17.1 ist jetzt mit weiteren Log4Shell-Schwachstellenkorrekturen verfügbar

Die Apache Foundation führt innerhalb eines Monats das vierte Log4j-Update ein, das weitere potenzielle Sicherheitslücken behebt.

Früher in diesem Monat, eine Sicherheitslücke, die im beliebten Java-basierten Protokollierungspaket „Log4j“ entdeckt wurde wurde für unzählige Unternehmen und Technologieprodukte zu einem massiven Problem. Minecraft, Steam, Apple iCloud und andere Anwendungen und Dienste mussten Updates mit einer gepatchten Version beschleunigen, aber die Probleme von Log4j wurden noch nicht vollständig behoben. Jetzt wird ein weiteres Update veröffentlicht, das ein weiteres potenzielles Sicherheitsproblem beheben soll.

Die Apache Software Foundation veröffentlicht Version 2.17.1 von Log4j Montags (über Piepender Computer), das in erster Linie eine Sicherheitslücke mit der Bezeichnung behebt CVE-2021-44832. Die Sicherheitslücke könnte möglicherweise eine Remotecodeausführung (RCE) mithilfe des JDBC-Appenders ermöglichen, wenn der Angreifer die Log4j-Protokollierungskonfigurationsdatei steuern kann. Das Problem wurde mit dem Schweregrad „Mittel“ eingestuft, was niedriger ist als die Sicherheitslücke, mit der alles begann –

CVE-2021-44228, das mit „Kritisch“ bewertet wird. Checkmarx-Sicherheitsforscher Yaniv Nizry behauptete, die Schwachstelle entdeckt zu haben und es der Apache Software Foundation melden.

Apache schrieb in der Schwachstellenbeschreibung: „Apache Log4j2-Versionen 2.0-beta7 bis 2.17.0 (mit Ausnahme der Sicherheitsfix-Versionen 2.3.2 und 2.12.4) sind anfällig für einen Remote-Code-Execution-Angriff (RCE), bei dem ein Angreifer mit Die Berechtigung zum Ändern der Protokollierungskonfigurationsdatei kann mithilfe eines JDBC-Appenders mit einer Datenquelle, die auf einen JNDI-URI verweist, der remote ausgeführt werden kann, eine schädliche Konfiguration erstellen Code. Dieses Problem wird behoben, indem JNDI-Datenquellennamen in den Log4j2-Versionen 2.17.1, 2.12.4 und 2.3.2 auf das Java-Protokoll beschränkt werden.

Der ursprüngliche Log4j-Exploit, der auch als „Log4Shell“ bekannt ist, ermöglichte die Ausführung von Schadcode auf vielen Servern oder Anwendungen, die Log4j zur Datenprotokollierung verwendeten. Matthew Prince, CEO von Cloudflare, sagte, dass der Exploit ausgenutzt werde bereits am 1. Dezember, über eine Woche bevor es öffentlich bekannt wurde, und entsprechend Die Washington Post, Google hat über 500 Ingenieure damit beauftragt, den Code des Unternehmens zu durchforsten, um sicherzustellen, dass nichts angreifbar ist. Diese Schwachstelle ist bei weitem nicht so schwerwiegend, da ein Angreifer weiterhin in der Lage sein muss, eine zu Log4j gehörende Konfigurationsdatei zu ändern. Wenn ihnen das gelingt, ist es wahrscheinlich, dass Sie ohnehin größere Probleme haben.

Es wird erwartet, dass diese neueste Version die endgültige dauerhafte Lösung für den ursprünglichen Exploit darstellt, den viele Unternehmen bereits selbst behoben haben. Allerdings haben wir seit dem ersten Update auch eine Reihe anderer Updates gesehen, um später entdeckte Lücken zu schließen. Mit etwas Glück sollte dies endlich das Ende der Log4Shell-Saga sein.