Aktuell gibt es eine Sicherheitslücke in der weitverbreiteten Java-Logging-Bibliothek Log4j (Log4Shell). Mit dieser können Angreifer beliebigen Code auf dem Server ausführen lassen. Diese Log4j-Lücke hält momentan Admins und Sicherheitspersonal auf der ganzen Welt auf Trab. Für uns stellt sich ebenfalls die zentrale Frage: Ist unsere Anwendung auch betroffen?
Mit diesem Blog möchten wir Sie über den aktuellen Stand unserer Analyse/Maßnahmen informieren. Unsere getroffenen Maßnahmen erfolgten gemäß den Herstellervorgaben von Apache (https://logging.apache.org/log4j/2.x/security.html).
Unsere Produkte setzen die Log4j 2.x Version ein. Von Apache wird für diese Version als Maßnahme das Entfernen der JNDI-Klasse empfohlen.
zip -q -d log4j-core-*.jar
org/apache/logging/log4j/core/lookup/JndiLookup.class
Diese Maßnahme haben wir bereits umgesetzt. Wie von heise online berichtet, genügt der Sicherheistpatch 2.15.0 offensichtlich noch nicht. Log4j 2.16.0 behebt nun noch eine weitere Schwachstelle. Wir werden die Entwicklungen beobachten und eine Aktualisierung auf eine zuverlässig gefixte Log4j Version nicht auf die lange Bank schieben.
Die als Log4Shell bekannt gewordene Sicherheitslücke CVE-2021-44228 bezieht sich auf die Versionen 2.0-beta9 bis 2.14.1 des Apache Log-Frameworks Log4j. Das Bundesamt für Sicherheit in der Informationstechnik stuft diese Lücke als bedrohlich ein (https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2021/2021-549032-10F2.html).
Für Fragen stehen wir Ihnen gerne zur Verfügung.
Address-Consulting 