Gegenmittel für 0-day CVE-2021-44228 in Java log4j-Bibliothek

Veröffentlicht am 11. Dezember 2021 von Günter Born

Sicherheit (Pexels, allgemeine Nutzung)In der zum Logging benutzen Java Bibliothek log4j gibt es eine kritische Schwachstelle, die ungepatcht ist. Das betrifft Tausende Dienste von Apple, Amazon, Twitter, Minecraft. VMware vCenter etc. Am 10. Dez. 2021 wurde ein Script Logout4Shell veröffentlicht, welches die Angreifbarkeit einer Installation reduzieren kann. Ich habe die betreffende Information im Blog-Beitrag 0-day CVE-2021-44228 in Java log4j-Bibliothek tangiert zahlreiche Anbieter nachgetragen.

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

9 Antworten zu Gegenmittel für 0-day CVE-2021-44228 in Java log4j-Bibliothek

  1. 1ST1 sagt:
    11. Dezember 2021 um 11:59 Uhr

    Elasticsearch ist auch betroffen.

    Antworten
  3. Stefan A. sagt:
    11. Dezember 2021 um 22:18 Uhr

    Das BSI hat nun die Stufe auf Rot erhöht!

    Und das schlimme ist wie folgt zu lesen:

    „Es sind zudem Ausnutzungen der Schwachstelle zu beobachten, die kein explizites Nachladen eines Schadcodes benötigen und einen maliziösen Code direkt in der Abfrage enthalten. Dies gefährdet auch Grundschutz-konforme Systeme, die i.d.R. keine Verbindung ins Internet aufbauen können"

    Antworten
  4. Bolko sagt:
    12. Dezember 2021 um 13:26 Uhr

    1.
    Sogar der Hubschrauber Ingenuity auf dem Mars benutzt log4j.
    twitter[.]com/TheASF/status/1400875147163279374

    2.
    Okta RADIUS Server
    und
    MFA server

    führen beide sofort den Code aus, wenn man den jndi-Befehl als Username eingibt.

    3.
    Apache JAMES SMTP server
    führt den jndi-Befehl aus, wenn er sich nur im email-Header befindet.

    4.
    vorläufige Cisco Liste
    tools[.]cisco[.]com/security/center/content/CiscoSecurityAdvisory/cisco-sa-apache-log4j-qRuKNEbd

    5.
    vorläufige Red Hat Liste:
    access[.]redhat[.]com/security/vulnerabilities/RHSB-2021-009

    6.
    vorläufige vmware Liste:
    www[.]vmware[.]com/security/advisories/VMSA-2021-0028.html

    7.
    Es gibt eine vorläufige und lange Liste mit betroffenen Produkten:
    gist[.]github[.]com/SwitHak/b66db3a06c2955a9cb71a8718970c592

    Oracle hat wohl schon mindestens 60 seiner Produkte als betroffen verifiziert.

    Antworten
  6. KappaKlaus sagt:
    13. Dezember 2021 um 09:34 Uhr

    Sind PC's, auf welchen Java installiert ist standardmäßig betroffen? Oder wird log4j zusätzlich installiert?

    Antworten
    • Bolko sagt:
      13. Dezember 2021 um 11:37 Uhr

      In der Java-Runtime selber steckt log4j nicht drin, aber das JNDI-Framework ist drin und JNDI ist der eigentliche Befehlsausführer.

      Zum Beispiel bei dem Programm "Mediathekview" findet man log4j*.* direkt im Ordner.

      Jedes Programm kann log4j aber auch versteckt mitbringen, dann findet man die Dateien log4j*.* gar nicht im Dateisystem.
      Beispiel "Blender".
      Dann reicht es schon aus, ein 3D-Modell zu öffnen, welches als Name den "jndi"-String hat und schon lädt Blender Schadcode nach und führt den sofort aus.

      log4j*.* kann in irgendwelchen *.jar oder *.war Dateien stecken oder sogar statisch in andere Objekte gelinkt sein, so dass man es nur schwer finden kann.

      Die großen Softwarehersteller sind seit einigen Tagen dran, ihre eigenen Programme zu überprüfen und sind immer noch nicht fertig mit der Suche, obwohl sie sämtlichen Quellcode zur Verfügung haben.

      Das Problem ist also recht komplex.

      Antworten
  7. Bolko sagt:
    14. Dezember 2021 um 15:48 Uhr

    Neuer FIX log4j v2.16.0
    logging[.]apache.org/log4j/2.x/changes-report.html#a2.16.0

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros. Kommentare abseits des Themas bitte unter Diskussion. Kommentare, die gegen die Regeln verstoßen, werden rigoros gelöscht.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.