Versions Compared

Old Version 33

changes.mady.by.user Talos-Zens Alexander

Saved on

compared with

New Version 34

changes.mady.by.user Daniel Ziegenberg

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.
Comment: Updates zu CVE-2021-45105

...

Info
iconfalse

Diese Seite wird laufend erweitert. Primäres Anliegen dieser Seite ist, eine schnelle Orientierung in der aktuellen Log4-Shell-Problematik zu bieten.

Änderungen:

  • Upgrade auf Version >= 2.1617.0 statt 2.15 bzw. 2.16 (Diese Seite berücksichtigt auch die zweite und dritte bekanntgewordene Schwachstelle CVE-2021-45046 bzw. CVE-2021-45105.)
  • Abschnitt zu Test und Diagnose überarbeitet
  • Special report von CERT.at von 14. Dezember berücksichtigt
  • zahlreiche neue Weblinks

...

  • Java-Anwendungen und unter Umständen Anwendungen, die Java-Anwendungen aufrufen,
  • wenn fremdbestimmte Daten geloggt werden.
  • Das angegriffene Service und die Stelle, wo der Exploit wirksam wird, können auf unterschiedlichen Servern laufen (z.B. Web-Frontend vs. Backend-Datenbank).
  • Diese Schwachstelle betrifft Log4j mit Versionsnummern vor 2.1617.0.

  • Log4j 1 ist nach aktuellem Wissensstand nur in besonderen Konfigurationen betroffen.

  • Für Anwendungen, die die lokale JRE verwenden, ist deren Log4j-Version ausschlaggebend.
  • Java-Anwendungen, die ihre eigene JRE mitbringen, bringen auch ihre eigene Log4j-Version mit.
  • eigene JRE mitbringen, bringen auch ihre eigene Log4j-Version mit.

...

  • Die einzige als sicher angesehene (per 1518. Dezember 2021) Lösung ist ein Upgrade auf Log4j 2.1617.0 oder höher. Dazu ist Java 8 erforderlich.

    • Lokale JRE: upgrade (relativ) leicht auf Maschinenebene lösbar
    • Anwendungen mit eigener JRE: Upgrade durch Hersteller / Distributor / Upstream
    • Bei Eigenentwicklungen:
      • Aktuell verteilte Versionen prüfen
      • Im Deployment auf aktuelle Log4j-Versionachten

...

Original-Webseite von lunasec, die die Schwachstelle entdeckt haben:
https://www.lunasec.io/docs/blog/log4j-zero-day/
https://www.lunasec.io/docs/blog/log4j-zero-day-update-on-cve-2021-45046/
https://www.lunasec.io/docs/blog/log4j-zero-day-severity-of-cve-2021-45046-increased/

Mitre CVE-2021-44228: Apache Log4j2 JNDI features do not protect against attacker-controlled LDAP and other JNDI related endpoints:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44228
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-45046

Mitre CVE-2021-45105: Apache Log4j2 versions 2.0-alpha1 through 2.16.0 did not protect from uncontrolled recursion from self-referential lookups:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-45105

Zusammenfassung und Überblick von cert.at:
https://cert.at/de/warnungen/2021/12/kritische-0-day-sicherheitslucke-in-apache-log4j-bibliothek
https://cert.at/de/spezielles/2021/12/special-report-empfehlungen-zu-log4shell

...