Neues Apache Log4j Update zur Behebung einer neu entdeckten Sicherheitslücke veröffentlicht

  • Die Apache Software Foundation (ASF) hat am Dienstag neue Patches veröffentlicht, um eine Schwachstelle in Log4j zu beheben, die von Bedrohungsakteuren missbraucht werden könnte, um bösartigen Code auf den betroffenen Systemen auszuführen. Dies ist bereits die fünfte Sicherheitslücke, die innerhalb eines Monats in diesem Tool entdeckt wurde.

    Die als CVE-2021-44832 verfolgte Schwachstelle wird auf einer Skala von 10 mit dem Schweregrad 6,6 bewertet und betrifft alle Versionen der Logging-Bibliothek von 2.0-alpha7 bis 2.17.0 mit Ausnahme von 2.3.2 und 2.12.4. Während Log4j-Versionen 1.x nicht betroffen sind, wird Benutzern empfohlen, auf Log4j 2.3.2 (für Java 6), 2.12.4 (für Java 7) oder 2.17.1 (für Java 8 und höher) zu aktualisieren.

    “Die Apache Log4j2-Versionen 2.0-beta7 bis 2.17.0 (mit Ausnahme der Security-Fix-Versionen 2.3.2 und 2.12.4) sind anfällig für einen Remote-Code-Execution (RCE)-Angriff, bei dem ein Angreifer mit der Berechtigung, die Logging-Konfigurationsdatei zu modifizieren, eine bösartige Konfiguration unter Verwendung eines JDBC-Appenders mit einer Datenquelle konstruieren kann, die auf eine JNDI-URI verweist und Remote-Code ausführen kann”, so die ASF in einem Advisory. “Dieses Problem wird durch die Beschränkung von JNDI-Datenquellennamen auf das Java-Protokoll in den Log4j2-Versionen 2.17.1, 2.12.4 und 2.3.2 behoben.”

    Obwohl die ASF keine Anerkennung für das Problem ausspricht, beansprucht der Checkmarx-Sicherheitsforscher Yaniv Nizry die Anerkennung für die Meldung der Schwachstelle an Apache am 27. Dezember.

    [Blocked Image: https://thehackernews.com/images/-_qTKDwXdOnI/YVHQqMJj85I/AAAAAAAA4Z4/RFYOUTwKxUY869ZyUVtFZRcIgVtUMHzAQCLcBGAsYHQ/s300-e100/rewind-1-300.png]

    “Die Komplexität dieser Schwachstelle ist höher als die ursprüngliche CVE-2021-44228, da sie erfordert, dass der Angreifer die Kontrolle über die Konfiguration hat”, so Nizry. “Im Gegensatz zu Logback gibt es in Log4j die Möglichkeit, eine entfernte Konfigurationsdatei zu laden oder den Logger über den Code zu konfigurieren, so dass eine beliebige Codeausführung mit [an] MitM-Attacke, Benutzereingaben, die in einer verwundbaren Konfigurationsvariable landen, oder durch Modifikation der Konfigurationsdatei erreicht werden.”

    Mit dem neuesten Fix haben die Projektbetreuer insgesamt vier Probleme in Log4j behoben, seit der Log4Shell-Fehler Anfang des Monats bekannt wurde, ganz zu schweigen von einer fünften Schwachstelle, die die Version Log4j 1.2 betrifft und nicht behoben wird.

    • CVE-2021-44228 (CVSS-Score: 10.0) – Eine Schwachstelle in der Remotecodeausführung, die Log4j-Versionen von 2.0-beta9 bis 2.14.1 betrifft (in Version 2.15.0 behoben)
    • CVE-2021-45046 (CVSS-Score: 9.0) – Ein Informationsleck und eine Sicherheitslücke bei der entfernten Codeausführung, die Log4j-Versionen von 2.0-beta9 bis 2.15.0, ausgenommen 2.12.2, betrifft (behoben in Version 2.16.0)
    • CVE-2021-45105 (CVSS-Score: 7.5) – Eine Denial-of-Service-Schwachstelle, die Log4j-Versionen von 2.0-beta9 bis 2.16.0 betrifft (behoben in Version 2.17.0)
    • CVE-2021-4104 (CVSS-Score: 8.1) – Eine nicht vertrauenswürdige Deserialisierungslücke, die Log4j Version 1.2 betrifft (keine Lösung verfügbar; Upgrade auf Version 2.17.1)

    Die Entwicklung erfolgt zu einem Zeitpunkt, zu dem Geheimdienste aus Australien, Kanada, Neuseeland, Großbritannien und den USA eine gemeinsame Warnung vor der massenhaften Ausnutzung mehrerer Schwachstellen in der Log4j-Softwarebibliothek von Apache durch böswillige Angreifer veröffentlicht haben.

    Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

    Einige Teile dieses Artikels stammen aus:
    thehackernews.com