Log4Shell Schwachstelle

SANS: Log4Shell-Behebung kann Monate dauern

SANS: Log4Shell-Behebung kann Monate dauern

Von Bojan Zdrna, Senior Instructor bei SANS Institute und Chief Technical Officer bei INFIGO IS

Bojan Zdrna, Senior Instructor bei SANS Institute und Chief Technical Officer bei INFIGO IS

Seit Donnerstag klingeln rund um den Globus die Alarmglocken, Java-Anwendungen, die die log4j2 Library nutzen, sind durch die Zero Day-Schwachstelle CVE-2021-44228 verwundbar und müssen gepatcht werden. Bei log4j handelt es sich um ein sehr beliebtes Logging-Paket für Java. Es ist sehr leistungsfähig und flexibel und wird in fast jeder Java-Anwendung verwendet.

Kein Wunder, denn es erlaubt Administratoren, einfach eine Instanz der log4j-Klasse zu erstellen und diese dann auf der Grundlage der bereitgestellten Konfigurationsparameter für die Protokollierung zu verwenden. Am Wochenende wurde ein Exploit-Versuch für eine Remote Code Execution Schwachstelle in log4j veröffentlicht. Jedes Eingabefeld, das von einem Angreifer kontrolliert und an die log4j-Bibliothek übergeben wird, kann zu einer Remote Code-Ausführung führen.

Wichtig ist zu wissen, dass jede Anwendung betroffen ist, die eine verwundbare log4j-Version verwendet. Es spielt keine Rolle, ob es sich um eine serverseitige Anwendung oder eine clientseitige Anwendung handelt – solange sie eine Eingabe von einem Angreifer liest und diese an die log4-Bibliothek weitergibt. Die Behebung der Schwachstelle in all diesen Anwendungen könnte Monate dauern.