...
Info | ||
---|---|---|
| ||
Diese Seite wird laufend erweitert. Primäres Anliegen dieser Seite ist, eine schnelle Orientierung in der aktuellen Log4-Shell-Problematik zu bieten. Änderungen:
|
...
- Java-Anwendungen und unter Umständen Anwendungen, die Java-Anwendungen aufrufen,
- wenn fremdbestimmte Daten geloggt werden.
- Das angegriffene Service und die Stelle, wo der Exploit wirksam wird, können auf unterschiedlichen Servern laufen (z.B. Web-Frontend vs. Backend-Datenbank).
- Diese Schwachstelle betrifft Log4j mit Versionsnummern vor 2.1617.0.
Log4j 1 ist nach aktuellem Wissensstand nur in besonderen Konfigurationen betroffen.
- Für Anwendungen, die die lokale JRE verwenden, ist deren Log4j-Version ausschlaggebend.
- Java-Anwendungen, die ihre eigene JRE mitbringen, bringen auch ihre eigene Log4j-Version mit.
- eigene JRE mitbringen, bringen auch ihre eigene Log4j-Version mit.
...
Die einzige als sicher angesehene (per 1518. Dezember 2021) Lösung ist ein Upgrade auf Log4j 2.1617.0 oder höher. Dazu ist Java 8 erforderlich.
- Lokale JRE: upgrade (relativ) leicht auf Maschinenebene lösbar
- Anwendungen mit eigener JRE: Upgrade durch Hersteller / Distributor / Upstream
- Bei Eigenentwicklungen:
- Aktuell verteilte Versionen prüfen
- Im Deployment auf aktuelle Log4j-Versionachten
...
Original-Webseite von lunasec, die die Schwachstelle entdeckt haben:
https://www.lunasec.io/docs/blog/log4j-zero-day/
https://www.lunasec.io/docs/blog/log4j-zero-day-update-on-cve-2021-45046/
https://www.lunasec.io/docs/blog/log4j-zero-day-severity-of-cve-2021-45046-increased/
Mitre CVE-2021-44228: Apache Log4j2 JNDI features do not protect against attacker-controlled LDAP and other JNDI related endpoints:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44228
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-45046
Mitre CVE-2021-45105: Apache Log4j2 versions 2.0-alpha1 through 2.16.0 did not protect from uncontrolled recursion from self-referential lookups:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-45105
Zusammenfassung und Überblick von cert.at:
https://cert.at/de/warnungen/2021/12/kritische-0-day-sicherheitslucke-in-apache-log4j-bibliothek
https://cert.at/de/spezielles/2021/12/special-report-empfehlungen-zu-log4shell
...