StartseiteIT und SoftwareLog4shell – kritische Sicherheitslücke in Java-Logging-Bibliothek Log4j

Log4shell – kritische Sicherheitslücke in Java-Logging-Bibliothek Log4j - PrNews24.de

Freitag den 10. Dezember 21 wurde unter dem Namen Log4Shell (CVE-2021-44228) eine kritische Sicherheitslücke (Zero-Day Vulnerability) in Apache Log4j veröffentlicht; sie kann remote ausgenutzt werden und erlaubt einem Angreifer, eigenen Code auszuführen (RCE). Erfolgreich angegriffen wurden unter anderem Amazon, Apple , Tesla, Twitter, Steam, etc.. Wegen der einfachen Ausnutzung und der möglichen schweren Folgen, hat das BSI bereits am Samstag den 11. Dezember die höchste Warnstufe „Rot“ vergeben.

Sind Sie betroffen?

Um zu prüfen, ob ihre Server verwundbar sind, können Sie folgendes Script nutzen:

https://www.softscheck.com/poc/log4shell/log4shell_check.py

Betroffen ist Log4j vor Version 2.15.0 (6. Dezember 2021). Ebenfalls verwundbar sind einige Produkte, die Log4j einbinden. Eine ständig aktualisierte Liste hierzu findet sich unter: https://github.com/NCSC-NL/log4shell/tree/main/software

Was sollten Sie sofort tun, falls Sie betroffen sind?

  • Patchen: Log4j auf Version 2.15.0 (oder neuer) aktualisieren oder die Produkte aktualisieren, die Log4j nutzen.
  • Mitigieren: Sollte Patchen nicht möglich sein, kann die Lücke durch Deaktivieren des Loggens von Lookups mitigiert werden. Hierzu „log4j2.formatMsgNoLookups“ oder die Umgebungsvariable „LOG4J_FORMAT_MSG_NO_LOOKUPS“ auf „true“ setzen.
  • Erfolgreich angegriffen? Überprüfen, ob die Sicherheitslücke bereits ausgenutzt wurde. Hierbei hilft das Tool log4shell-detector https://github.com/Neo23x0/log4shell-detector. Bei erfolgreichem Angriff muss das gesamte System forensisch untersucht werden; kritische Systeme müssen vom Netz genommen werden.

Pressekontaktdaten:
softScheck GmbH
Bonner Str. 108
53757 Sankt Augustin
Deutschland

Telefon: + 49 (2241) 255 43-0
Fax: + 49 (2241) 255 43-29
E-Mail: info(at)softscheck.com

Themen des Artikels
Aktuelle Pressemitteilung teilen

Disclaimer/ Haftungsausschluss:
Für den oben stehend Pressemitteilung inkl. dazugehörigen Bilder / Videos ist ausschließlich der im Text angegebene Kontakt verantwortlich. Der Webseitenanbieter Prnews24.com distanziert sich ausdrücklich von den Inhalten Dritter und macht sich diese nicht zu eigen.

Ähnliche Themen wie -

Log4shell – kritische Sicherheitslücke in Java-Logging-Bibliothek Log4j
L