Log4j-Schwachstelle: Entfernter Angreifer kann Befehle ausführen

Log4j ist ein Framework zum Loggen von Anwendungsmeldungen in Java. Innerhalb vieler Softwareprodukte hat es sich zu einem
De-facto-Standard entwickelt. Log4j gilt als Vorreiter für andere Logging-Frameworks, auch in anderen Programmiersprachen
(log4cxx für C++,  log4Net für .Net, log4php für PHP).

Statt Fehler und Infomeldungen auf der Standardausgabe auszugeben, leitet log4j Meldungen über Logger an das gewählte Logging-System weiter. Neben der Auswahl des Logging-Systems wird gleichzeitig über die Wichtigkeit (Log-Level) der Meldung entschieden (ALL, TRACE, DEBUG, INFO, WARN, ERROR, FATAL, OFF). Die Filterung und Art der Ausgabe kann zur Laufzeit konfiguriert werden.

Eine Zero-Day-Lücke in dieser weit verbreiteten Java-Bibliothek
bereitet derzeit Server-Betreibern weltweit große Sorgen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI)  hat die höchste Warnstufe ausgerufen, da ein entfernter Angreifer durch die Schwachstelle einfach beliebige Befehle auf den betroffenen Systemen ausführen kann.

Die Schwachstelle tritt auf, weil die Anwendung Benutzereingaben nicht richtig verarbeitet. Alle Anwendungen, die benutzerdefinierte Zeichenketten direkt an log4j weitergeben sind somit von der Sicherheitslücke betroffen.

Ein Proof-of-Concept Exploit der Schwachstelle wurde auf Github ebenfalls veröffentlicht und auf Twitter verbreitet. Auch
Sicherheits-Scanner fuer das Sicherheitslücke wurden bereits veröffentlicht. Der Proof-of-Concept-Code zeigt, dass der Angreifer eine Zeichenkette der Form ${jndi:ldap://127.0.0.1:1389/a} ins Protokoll schreibt. Der Verzeichnisdienst JNDI kontaktiert dann den genannten LDAP-Server 127.0.0.1:1389.

Mit Version 2.15.0 wurde die Lücke geschlossen. Betroffene Dienste sind unter anderem Amazon Web Services, Steam und iCloud.

E-Mail Benachrichtigung
Benachrichtige mich zu:
0 Kommentare
Älteste
Neuste Beste Bewertung
Nach oben