In der zum Logging benutzen Java Bibliothek log4j gibt es eine kritische Schwachstelle, die ungepatcht ist. Das betrifft Tausende Dienste von Apple, Amazon, Twitter, Minecraft. VMware vCenter etc. Am 10. Dez. 2021 wurde ein Script Logout4Shell veröffentlicht, welches die Angreifbarkeit einer Installation reduzieren kann. Ich habe die betreffende Information im Blog-Beitrag 0-day CVE-2021-44228 in Java log4j-Bibliothek tangiert zahlreiche Anbieter nachgetragen.
Translate
Suchen
Blogs auf Borncity
Spenden und Sponsoren
Den Blog durch Spenden unterstützen.
Aus dem DNV-Netzwerk
- Gaming-PCs: RTX-5070-Systeme fallen um 300 Euro im Preiskampf News 15. Juni 2026
- Ryzen AI 9 465: AMDs KI-Offensive mit 50 TOPS im Premium-Notebook News 15. Juni 2026
- Cybersecurity-Krise: FBI zerschlägt Phishing-Plattform mit 1,9 Mrd. Schaden News 15. Juni 2026
- watchOS 27: Apple schneidet fünf Modelle ab, Series 9 bleibt News 15. Juni 2026
- Microsoft Patch Tuesday Juni: 206 Lücken, davon 39 kritisch News 15. Juni 2026
Links
Amazon
Awards
MVP: 2013 – 2016
WIMVP: 2017 – 20202015
Blogroll
Soziale Netzwerke-Seiten
Foren
Um mir den Moderationsaufwand zu ersparen, empfehle ich eines der unter Websites verlinkten Angebote. Im Microsoft Answers-Forum bin ich gelegentlich noch als Moderator zu Windows-Themen unterwegs.
Neueste Kommentare
- User007 zu Info, warum ich jetzt Name und E-Mail-Adresse in Kommentaren fordere
- User007 zu Info, warum ich jetzt Name und E-Mail-Adresse in Kommentaren fordere
- Günter Born zu AI-Slop bei KPMG und Politik, KI-Fails bei Meta
- Günter Born zu Info, warum ich jetzt Name und E-Mail-Adresse in Kommentaren fordere
- Günter Born zu AI-Slop bei KPMG und Politik, KI-Fails bei Meta
- TT zu AI-Slop bei KPMG und Politik, KI-Fails bei Meta
- Günter Born zu AI-Slop bei KPMG und Politik, KI-Fails bei Meta
- Gänseblümchen zu Info, warum ich jetzt Name und E-Mail-Adresse in Kommentaren fordere
- Gänseblümchen zu Satya Nadella veröffentlicht neues AI-Memo: "Lernzyklen sind besser als AI-Modelle"
- Andreas K. zu AI-Slop bei KPMG und Politik, KI-Fails bei Meta
- MaxM zu Kontaktsynchronisation im Deep Dive: Zwischen Eigenbau und Drittanbieterlösungen
- Gänseblümchen zu AI-Slop bei KPMG und Politik, KI-Fails bei Meta
- Andyt zu Info, warum ich jetzt Name und E-Mail-Adresse in Kommentaren fordere
- User007 zu AI-Slop bei KPMG und Politik, KI-Fails bei Meta
- MaxM zu MC1234566 – Outlook "Contact Masking" wird am 31. März 2026 beendet
Elasticsearch ist auch betroffen.
Ist das das gleiche wie hier beschrieben?
https://www.rnd.de/digital/sicherheitsluecke-log4shell-gefaehrdet-weltweit-computer-BKEVXN6V7CYW24CKPGSJOXWPXU.html
Ja, die haben es halt verschwurbelt
Das BSI hat nun die Stufe auf Rot erhöht!
Und das schlimme ist wie folgt zu lesen:
„Es sind zudem Ausnutzungen der Schwachstelle zu beobachten, die kein explizites Nachladen eines Schadcodes benötigen und einen maliziösen Code direkt in der Abfrage enthalten. Dies gefährdet auch Grundschutz-konforme Systeme, die i.d.R. keine Verbindung ins Internet aufbauen können"
1.
Sogar der Hubschrauber Ingenuity auf dem Mars benutzt log4j.
twitter[.]com/TheASF/status/1400875147163279374
2.
Okta RADIUS Server
und
MFA server
führen beide sofort den Code aus, wenn man den jndi-Befehl als Username eingibt.
3.
Apache JAMES SMTP server
führt den jndi-Befehl aus, wenn er sich nur im email-Header befindet.
4.
vorläufige Cisco Liste
tools[.]cisco[.]com/security/center/content/CiscoSecurityAdvisory/cisco-sa-apache-log4j-qRuKNEbd
5.
vorläufige Red Hat Liste:
access[.]redhat[.]com/security/vulnerabilities/RHSB-2021-009
6.
vorläufige vmware Liste:
www[.]vmware[.]com/security/advisories/VMSA-2021-0028.html
7.
Es gibt eine vorläufige und lange Liste mit betroffenen Produkten:
gist[.]github[.]com/SwitHak/b66db3a06c2955a9cb71a8718970c592
Oracle hat wohl schon mindestens 60 seiner Produkte als betroffen verifiziert.
Hier eine Herstellerübersicht:
https://gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592
Sind PC's, auf welchen Java installiert ist standardmäßig betroffen? Oder wird log4j zusätzlich installiert?
In der Java-Runtime selber steckt log4j nicht drin, aber das JNDI-Framework ist drin und JNDI ist der eigentliche Befehlsausführer.
Zum Beispiel bei dem Programm "Mediathekview" findet man log4j*.* direkt im Ordner.
Jedes Programm kann log4j aber auch versteckt mitbringen, dann findet man die Dateien log4j*.* gar nicht im Dateisystem.
Beispiel "Blender".
Dann reicht es schon aus, ein 3D-Modell zu öffnen, welches als Name den "jndi"-String hat und schon lädt Blender Schadcode nach und führt den sofort aus.
log4j*.* kann in irgendwelchen *.jar oder *.war Dateien stecken oder sogar statisch in andere Objekte gelinkt sein, so dass man es nur schwer finden kann.
Die großen Softwarehersteller sind seit einigen Tagen dran, ihre eigenen Programme zu überprüfen und sind immer noch nicht fertig mit der Suche, obwohl sie sämtlichen Quellcode zur Verfügung haben.
Das Problem ist also recht komplex.
Neuer FIX log4j v2.16.0
logging[.]apache.org/log4j/2.x/changes-report.html#a2.16.0