Alert!

Neue Probleme - Log4j-Patch genügt nicht

Version 2.15.0 von Log4j sollte die Log4Shell-Sicherheitslücke schließen. Das reichte jedoch nicht. Log4j 2.16.0 behebt nun noch eine weitere Schwachstelle.

Lesezeit: 2 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 127 Beiträge
Aufmacherbild Log4j Neue Probleme

(Bild: Tatiana Popova/Shutterstock.com)

Von

Die Apache-Entwickler haben in Version 2.16.0 von Log4j eine weitere Sicherheitslücke geschlossen, die nach dem ersten Versuch der Fehlerbehebung der Log4Shell-Schwachstelle in der 2.15.0er-Fassung offen stand. Der Patch war unvollständig, sodass bei bestimmten Logging-Optionen Angreifer die Software durch eine Denial-of-Service-Lücke hätten lahmlegen können.

Die Apache-Programmierer führen aus, dass die Lücke bei einer Logging-Konfiguration, deren Pattern-Layout ein sogenanntes Context Lookup (etwa der Form $${ctx:loginId}) oder ein Thread Context Map-Muster (beispielsweise die Optionen %X, %mdc oder %MDC) enthalten, auftreten könnte. Angreifer könnten dann mit manipulierten Daten, die sie zum verwundbaren Server schicken, einen Denial-of-Service auslösen (CVE-2021-45046, CVSS 3.7, niedrig).

Die Entwickler betonen, dass etwa die vorgeschlagene Umgehungsmaßnahme wie das Setzen der Option log4j2.noFormatMsgLookup auf true diesen Fehler nicht behebt. Das Entfernen der JNDI-Lookup-Klasse etwa via zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class helfe jedoch gegen die Lücke, wenn ein Update noch nicht möglich sei.

Administratoren und Sicherheitsverantwortliche sollten verwundbare Log4j-Bibliotheken dringend aufspüren und aktualisieren. Immer mehr IT-Sicherheitsunternehmen vermelden umfangreiche Scans auf die Schwachstelle sowie das aktive Ausnutzen durch Cybergangs. Wer bereits ein Update auf Log4j 2.15.0 durchgeführt hat, sollte vor der sich ankündigenden Welle von Angriffen geschützt sein. Immerhin kann über die neue Lücke kein Code mehr eingeschleust und ausgeführt werden. Trotzdem sollte man die Aktualisierung auf Log4j 2.16.0 nicht auf die lange Bank schieben.

Empfohlener redaktioneller Inhalt

Mit Ihrer Zustimmmung wird hier eine externe Umfrage (Opinary GmbH) geladen.

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Opinary GmbH) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

heise Security liefert nützliche Tipps, wie Sie Ihr Unternehmen vor Log4Shell-Angriffen schützen können: Im Live-Webinar "Die Log4j-Lücke – der Praxis-Ratgeber für Admins" am Montag kommender Woche, 20. Dezember 2021, um 11:00 Uhr gibt es dazu einen Überblick, eine Checklist und hilfreiche Empfehlungen für die Praxis.

(dmk)