Seit letzten Donnerstag klingeln rund um den Globus die Alarmglocken. Java-Anwendungen, die die log4j2 Library nutzen, sind durch die Zero Day-Schwachstelle CVE-2021-44228 verwundbar und müssen gepatcht werden. Bei log4j handelt es sich um ein sehr beliebtes Logging-Paket für Java. Es ist sehr leistungsfähig und flexibel und wird in fast jeder Java-Anwendung verwendet.

Kein Wunder, denn es erlaubt Administratoren, einfach eine Instanz der log4j-Klasse zu erstellen und diese dann auf der Grundlage der bereitgestellten Konfigurationsparameter für die Protokollierung zu verwenden. Am Wochenende wurde ein Exploit-Versuch für eine Remote Code Execution Schwachstelle in log4j veröffentlicht. Jedes Eingabefeld, das von einem Angreifer kontrolliert und an die log4j-Bibliothek übergeben wird, kann zu einer Remote Code-Ausführung führen.

Wichtig ist zu wissen, dass jede Anwendung betroffen ist, die eine verwundbare log4j-Version verwendet. Es spielt keine Rolle, ob es sich um eine serverseitige Anwendung oder eine clientseitige Anwendung handelt - solange sie eine Eingabe von einem Angreifer liest und diese an die log4-Bibliothek weitergibt. Die Behebung der Schwachstelle in all diesen Anwendungen könnte Monate dauern.

Wir nutzen Cookies auf unserer Website. Einige von ihnen sind essenziell für den Betrieb der Seite, während andere uns helfen, diese Website und die Nutzererfahrung zu verbessern (Tracking Cookies). Sie können selbst entscheiden, ob Sie die Cookies zulassen möchten. Bitte beachten Sie, dass bei einer Ablehnung womöglich nicht mehr alle Funktionalitäten der Seite zur Verfügung stehen.