Die weitverbreitete Protokollierungsbibliothek log4j hat eine kritische Schwachstelle die es Angreifern ermöglicht beliebigen Code auf Opfersystemen auszuführen (Remote Code Execution).
Es wird daher dringend empfohlen betroffenen Systeme und Anwendungen zu patchen, oder die Ausnutzbarkeit der Schwachstelle durch Konfigurationsänderungen oder Isolierung von betroffenen Systemen zu erschweren, bzw. zu verhindern.
Bei der Bibliothek handelt es sich um eine Java-Bibliothek. Es sollte daher bei allen Systemen überprüft werden, ob diese eine Java-Installation als Voraussetzung haben oder Java installiert haben. Bei Java-Systemen muss geprüft werden, ob diese die betroffene log4j-Bibliothek im Einsatz haben.
Unter dem Link
https://github.com/NCSC-NL/log4shell/blob/main/software/README.md
kann eine Liste mit betroffenen Anbietern eingesehen werden.
ACHTUNG! Diese Liste ist nicht vollständig und ist nur ein Auszug aus der oben angegebenen Quelle. Es werden vermutlich noch viele weitere Anbieter betroffen sein, die sich bis jetzt noch nicht dazu geäußert haben.
log4j sollte schnellstmöglich auf die aktuelle Version 2.15.0 geupdatet werden. Weil ein Update der Bibliothek innerhalb von Anwendungen, in denen diese verwendet wird für die Nutzer häufig nicht eigenständig möglich ist, muss geprüft werden, ob die Anbieter und Hersteller von betroffenen Produkten ein Sicherheitupdate zur Verfügung stellen, dass angewendet werden muss.
Wo ein Update kurzfristig nicht möglich ist, werden aktuell zwei Workaround empfohlen.
1. Ab log4j Version 2.10:
Setzen der Umgebungsvariable LOG4J_FORMAT_MSG_NO_LOOKUPS auf true
2. Ab log4j Version 2.0-beta 0 und höher:
Die Klasse JndiLookup kann aus dem Klassenpfad gelöscht werden. (Empfehlung des Herstellers)
Dies ist über den Folgenden Befehl möglich:
zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
3. Austausch der betroffenen jar-Datei:
Hierbei muss zunächst geprüft werden, ob eine Austausch der Datei möglich ist, hierzu sollte die Hersteller-Dokumentation der betroffenen Produkte zu Rate gezogen werden.
Wir verwenden Cookies, und Google reCAPTCHA, das Google Fonts lädt und mit Google-Servern kommuniziert. Durch die weitere Nutzung unserer Website stimmen Sie der Verwendung von Cookies und unserer Datenschutzerklärung zu.