[Warning] Kritische 0-day Sicherheitslücke in Apache Log4j Bibliothek - Updates und Workarounds verfügbar

Dimitri Robl robl at cert.at
Fri Dec 10 11:03:04 CET 2021


10. Dezember 2021

Beschreibung

Die populäre Open-Source Logging-Bibliothek Apache Log4j weist eine
schwerwiegende 0-day-Sicherheitslücke auf, die sich durch simples Loggen
eines speziellen Strings ausnützen lässt. Mittels JNDI wird ein Look-up
auf einen von den Angreifer:innen kontrollierten Server ausgelöst und
der zurückgelieferte Code ausgeführt. Entsprechender PoC-Exploit-Code
wurde bereits auf GitHub veröffentlicht.

CVE-Nummern: CVE-2021-44228 (lt. Apache Log4j GitHub, derzeit noch nicht
offiziell bestätigt)

CVSS Base Score: N/A

Auswirkungen

Ein erfolgreiches Ausnützen der Schwachstelle kann zu einer
vollständigen Kompromittierung des betroffenen Systems führen.

Betroffene Systeme

Alle Apache log4j Versionen von 2.0 bis inkl. 2.14.1 und sämtliche
Frameworks (z.B. Apache Struts2, Apache Solr, Apache Druid, Apache
Flink, etc.), welche diese Versionen verwenden. Laut der
Sicherheitsfirma LunaSec sind die JDK-Versionen 6u211, 7u201, 8u191, und
11.0.1 in der Default-Konfiguration nicht betroffen, da diese kein Laden
einer Remote Codebase erlaubt. Ist jedoch die Option
com.sun.jndi.ldap.object.trustURLCodebase auf true gesetzt, ist ein
Angriff weiterhin möglich.

Abhilfe

Update von Apache Log4j auf log4j-2.15.0-rc2, da die ursprünglich als
gefixt angegebene Version log4j-2.15.0-rc1 die Schwachstelle anscheinend
nur unzureichend behebt. Sollte ein Upgrade nicht zeitnah möglich sein,
können Betreiber:innen verwundbarer Systeme als Workaround den Server
mit der JVM-Option -Dlog4j2.formatMsgNoLookups=true starten.

Hinweis

Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und
dabei insbesondere auf automatische Updates zu setzen. Regelmäßige
Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.

Informationsquelle(n):

LunaSec Artikel
https://www.lunasec.io/docs/blog/log4j-zero-day/

Cyber Kendra Artikel
https://www.cyberkendra.com/2021/12/worst-log4j-rce-zeroday-dropped-on.html

PoC-Exploit auf GitHub
https://github.com/tangxiaofeng7/apache-log4j-poc

Apache Advisory
https://github.com/advisories/GHSA-jfh8-c2jp-5v3q

-- 
// Dimitri Robl <robl at cert.at> - T: +43 1 5056416 78
// CERT Austria - https://www.cert.at/
// CERT.at GmbH, FB-Nr. 561772k, HG Wien

-------------- next part --------------
A non-text attachment was scrubbed...
Name: OpenPGP_signature
Type: application/pgp-signature
Size: 840 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/pipermail/warning/attachments/20211210/53ad64e5/attachment.sig>


More information about the Warning mailing list