Log4j war von einer Schwachstelle betroffen, die Remote-Code-Execution-Angriffe (RCE-Angriffe) ermöglichte. Kurz gesagt, konnten Benutzereingaben in eine Software zu einer Codeausführung auf einem entfernten Server führen. Dies stellt ein schwerwiegendes Sicherheitsrisiko dar. Die Schwachstelle wurde „Log4Shell“ (CVE-2021-44228) genannt und sofort vom Log4j-Team behoben. In den folgenden Tagen wurden weitere Log4j-Schwachstellen gefunden. Diese haben zwar nicht die gleichen Auswirkungen wie die erste, können aber ebenfalls schwere Schäden verursachen. Aus diesem Grund ist es sehr wichtig, die Systeme zu überprüfen und immer auf die neuesten Versionen zu aktualisieren.

Da Log4j in zahlreichen Softwareprodukten enthalten ist, mussten und müssen auch die Hersteller der Produkte Updates bereitstellen. Dies ist noch nicht abgeschlossen und es könnten in Zukunft weitere Log4j-Schwachstellen auftauchen.

Als ein bewegliches Ziel bekommt Log4j immer noch viel Aufmerksamkeit, unter verschiedenen Aspekten:

  • Neue (und glücklicherweise weniger schwerwiegende) Sicherheitslücken werden gefunden.
  • Es entstehen neue Initiativen zur proaktiven Überprüfung von Log4-Quellen, wie zum Beispiel die Initiative von Google: Improving OSS-Fuzz and Jazzer to catch Log4Shell
  • Bei Greenbone erstellen wir noch mehr Schwachstellentests, um eine bessere Testabdeckung zu erreichen, und stellen sie täglich für unsere Produkte bereit.

Wir haben bereits eine ziemlich gute CVE-Abdeckung für die zusätzlichen Log4j-Schwachstellen, die in den letzten Tagen veröffentlicht wurden, erzielt, einschließlich:

  • CVE-2021-44228
  • CVE-2021-4104
  • CVE-2021-45046
  • CVE-2021-45105

Wie bereits erwähnt, hören wir hier nicht auf. Weitere lokale Sicherheitsprüfungen werden heute und morgen folgen, sobald die Linux-Distributionen ihre Advisories veröffentlicht haben.

Wir haben bereits einige Fakten über Log4j und den Umgang damit in unseren letzten Beiträgen veröffentlicht: