Update#9 - Kritische 0-day Sicherheitslücke in Apache Log4j Bibliothek - Updates und Workarounds verfügbar

Update: 13. Dezember 2021, 12:40

Update: 13. Dezember 2021, 14:20

Update: 14. Dezember 2021, 10:40

Update: 14. Dezember 2021, 13:10

Update: 15. Dezember 2021, 11:00

Update: 17. Dezember 2021, 14:00

Update: 20. Dezember 2021, 09:00

Update: 23. Dezember 2021, 09:15

Update: 29. Dezember 2021, 11:15

Update: 13. Dezember 2021, 12:40

Die CVE-Nummer ist nun offiziell bestätigt: https://nvd.nist.gov/vuln/detail/CVE-2021-44228
Apache gibt einen Base CVSS Score von 10.0 an: https://logging.apache.org/log4j/2.x/security.html

Update: 13. Dezember 2021, 14:20

Detaillierte Informationen zu den Exploits sowie einige Gegenmaßnahmen finden Sie auch in folgendem Blogpost des Schweizer GovCERTs: https://www.govcert.ch/blog/zero-day-exploit-targeting-popular-java-library-log4j/

Update: 15. Dezember 2021, 11:00

Ein zusätzlicher Angriffsvektor wurde identifiziert und wird als CVE-2021-45046 geführt.

Weitere Informationen und mögliche Gegenmaßnahmen finden Sie in unserem Special Report zu Log4Shell.

Update: 17. Dezember 2021, 14:00

Der CVSS Score von CVE-2021-45046 wurde von 3.7 (limited Denial of Service) auf 9.0 (limited Remote Code Execution) erhöht.

Update: 20. Dezember 2021, 09:00

Apache Log4j ist anfällig für die Schwachstelle CVE-2021-45105 (Denial of Service) mit einem CVSS Score von 7.5. Einem Artikel von Snyk zufolge, existiert derzeit noch kein PoC-Exploit.

Update: 29. Dezember 2021, 11:15

Die Log4j-Bibliothek in der Version 2.17.0 ist anfällig für CVE-2021-44832 (RCE mit einem CVSS Score von 6.6). Das Nachladen einer von Angreifer:innen bereitgestellten Konfiguration mit einer JNDI URI als Datasource für einen JDBC Appender ermöglicht das Laden und Ausführen von Schadcode wie schon bei CVE-2021-44228.

Update: 20. Dezember 2021, 09:00

Erfolgreiches Ausnützen der Schwachstelle CVE-2021-45105 kann zu einem Absturz der Applikation führen.

Update: 29. Dezember 2021, 11:15

Erfolgreiches Ausnützen der Schwachstelle CVE-2021-44832 kann zu einer vollständigen Kompromittierung des betroffenen Systems führen.

Update: 13. Dezember 2021, 12:40

NCSC-NL, das nationale CERT der Niederlande, hat eine Liste betroffener Software auf GitHub veröffentlicht:

https://github.com/NCSC-NL/log4shell/tree/main/software

Diese Liste wird laufend erweitert.

Update: 14. Dezember 2021, 10:40

Einem Tweet von Jan Schaumann zufolge sind alle Java-Applikationen, welche die entsprechenden Log4j Versionen verwenden, als verwundbar zu betrachten, da sich die Option com.sun.jndi.ldap.object.trustURLCodebase true mittels serialisierter LDAP Payloads umgehen lässt, sofern sich die in der Payload serialisierten Klassen im Classpath befinden.

Update: 20. Dezember 2021, 09:00

CVE-2021-45105 betrifft die Apache Log4j Versionen 2.0-beta9 bis 2.16.0.

Update: 29. Dezember 2021, 11:15

CVE-2021-44832 betrifft die Versionen 2.0-beta7 bis 2.17.0, jedoch nicht die Security-Releases 2.3.2 (Java 6), und 2.12.4 (Java 7)

Update: 13. Dezember 2021, 12:40

Die Workarounds funktionieren nicht bei allen Versionen gleich:

• Update 15. Dezember 2021, 11:00: Bei Versionen größer oder gleich 2.10 ist es ausreichend, die Systemeinstellung log4j2.formatMsgNoLookups oder die Umgebungsvariable LOG4J_FORMAT_MSG_NO_LOOKUPS auf true zu setzen.
• Bei Versionen zwischen 2.0-beta9 und 2.10.0 muss die Klasse JndiLookupclass aus dem Klassenpfad ("class path") gelöscht werden. Das funktioniert z.B. mit folgendem Befehl:
  zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class

NCSC-NL hat auch eine Liste von Gegenmaßnahmen auf GitHub veröffentlicht:
https://github.com/NCSC-NL/log4shell/tree/main/mitigation

Update: 14. Dezember 2021, 13:10

Apache Log4j Version 2.16 steht zum Download bereit. In dieser Version ist das Java Naming and Directory Interface (JNDI) standardmäßig deaktiviert. Das Interface kann zwar im Bedarfsfall wieder aktiviert werden, stellt jedoch in ungeschützen Umgebungen ein hohes Sicherheitsrisiko dar.

Update: 15. Dezember 2021, 11:00

Aufgrund des neuen Angriffsvektors in CVE-2021-45046 ist die Mitigation mittels log4j2.formatMsgNoLookups bei bestimmten Log4j-Konfigurationen unwirksam. Es wird daher dringend empfohlen, auf die gefixte Version 2.16 zu aktualiseren. Sollte das nicht möglich sein, muss die Klasse JndiLookupClass, wie oben beschrieben, aus dem Classpath gelöscht werden. Ob und in welchem Ausmaß das Entfernen der Klasse jedoch die Funktionalität der betroffenen Applikation beeinträchtigt, lässt sich nicht allgemein sagen.

Update: 20. Dezember 2021, 09:00

Update auf Apache Log4j 2.17.

Update: 23. Dezember 2021, 09:15

Laut den aktualisierten Patch Notes von Apache, sind die Sicherheitslücken CVE-2021-45046 und CVE-2021-45105 in den folgenden Versionen behoben:

• CVE-2021-45046: Log4j 2.16.0 (Java 8) und Log4j 2.12.2 (Java 7)
• CVE-2021-45105: Log4j 2.17.0 (Java 8), 2.12.3 (Java 7) und 2.3.1 (Java 6)

Update: 29. Dezember 2021, 11:15

Laut den aktualisierten Patch Notes von Apache, ist die Sicherheitslücke CVE-2021-44832 in den folgenden Versionen behoben:

•  Log4j 2.3.2 (Java 6), 2.12.4 (Java 7), und 2.17.1 (Java 8 und höher)