Log4j – Schutz vor kritischer Schwachstelle

Die weitverbreitete Protokollierungsbibliothek log4j hat eine kritische Schwachstelle die es Angreifern ermöglicht beliebigen Code auf Opfersystemen auszuführen (Remote Code Execution).

Es wird daher dringend empfohlen betroffenen Systeme und Anwendungen zu patchen, oder die Ausnutzbarkeit der Schwachstelle durch Konfigurationsänderungen oder Isolierung von betroffenen Systemen zu erschweren, bzw. zu verhindern.

Inhaltsverzeichnis

Betroffene Systeme, Anwendungen, Hersteller:

Bei der Bibliothek handelt es sich um eine Java-Bibliothek. Es sollte daher bei allen Systemen überprüft werden, ob diese eine Java-Installation als Voraussetzung haben oder Java installiert haben. Bei Java-Systemen muss geprüft werden, ob diese die betroffene log4j-Bibliothek im Einsatz haben.

Unter dem Link
https://github.com/NCSC-NL/log4shell/blob/main/software/README.md
kann eine Liste mit betroffenen Anbietern eingesehen werden.

Die Liste der mit log4j betroffenen Anbieter

  • Apache (verschiedene Produkte)
  • Cisco
  • Graylog
  • Microsoft
  • Oracle
  • SAP
  • Solarwinds
  • TrendMicro

ACHTUNG! Diese Liste ist nicht vollständig und ist nur ein Auszug aus der oben angegebenen Quelle. Es werden vermutlich noch viele weitere Anbieter betroffen sein, die sich bis jetzt noch nicht dazu geäußert haben.

Security Alert Log4j

Wie erkennt man betroffene Produkte und Versionen?

Es existiert ein Programm um lokal an betroffenen Systemen nach betroffenen Anwendungen zu scannen: https://github.com/hillu/local-log4j-vuln-scanner 
Ein anderer Scanner kann dies Remote: https://github.com/fullhunt/log4j-scan

Unsere Gegenmaßnahmen zur log4j Schwachstelle

Update

log4j sollte schnellstmöglich auf die aktuelle Version 2.15.0 geupdatet werden. Weil ein Update der Bibliothek innerhalb von Anwendungen, in denen diese verwendet wird für die Nutzer häufig nicht eigenständig möglich ist, muss geprüft werden, ob die Anbieter und Hersteller von betroffenen Produkten ein Sicherheitupdate zur Verfügung stellen, dass angewendet werden muss.

Workaround

Wo ein Update kurzfristig nicht möglich ist, werden aktuell zwei Workaround empfohlen.

1. Ab log4j Version 2.10:

Setzen der Umgebungsvariable LOG4J_FORMAT_MSG_NO_LOOKUPS auf true

2. Ab log4j Version 2.0-beta 0 und höher:

Die Klasse JndiLookup kann aus dem Klassenpfad gelöscht werden. (Empfehlung des Herstellers)
Dies ist über den Folgenden Befehl möglich: 

				
					zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class

3. Austausch der betroffenen jar-Datei:

Hierbei muss zunächst geprüft werden, ob eine Austausch der Datei möglich ist, hierzu sollte die Hersteller-Dokumentation der betroffenen Produkte zu Rate gezogen werden.

Du hast Fragen oder brauchst Unterstützung?
Für Rückfragen oder Unterstützungsbedarf bei der Überprüfung Ihrer Systeme stehen wir gerne zur Verfügung. Kommen Sie auf uns zu!
Jetzt Anfragen

Weitere Quellen

BSI.Bund.de

Github SwitHak

TEILEN
Facebook-f Twitter Linkedin-in Icon-xing
ANDERE BEITRÄGE

Inhaltsverzeichnis