{"id":260402,"date":"2021-12-10T18:57:10","date_gmt":"2021-12-10T17:57:10","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=260402"},"modified":"2022-07-16T07:02:53","modified_gmt":"2022-07-16T05:02:53","slug":"0-day-in-java-log4j-bibliothek-tangiert-zahlreiche-anbieter","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/12\/10\/0-day-in-java-log4j-bibliothek-tangiert-zahlreiche-anbieter\/","title":{"rendered":"0-day CVE-2021-44228 in Java log4j-Bibliothek tangiert zahlreiche Anbieter"},"content":{"rendered":"

\"Sicherheit[English<\/a>]In der zum Logging benutzen Java Bibliothek log4j gibt es eine kritische Schwachstelle, die ungepatcht ist. Diese Software ist in vielen anderen Produkten integriert. Tausende Dienste von Apple, Amazon, Twitter, Minecraft etc. sind \u00fcber diese Schwachstelle anf\u00e4llig. Inzwischen wurden bereits erste Angriffe auf Honeypots beobachtet. Hier ein kurzer \u00dcberblick, was Sache ist.<\/p>\n

<\/p>\n

\"\"Ein Leser hat in einem Kommentar<\/a> auf dieses Problem hingewiesen, welches u.a. hier<\/a> beschrieben ist.\u00a0 Bei log4j handelt es sich um eine Apache-Bibliothek zum Logging f\u00fcr Java. Diese Bibliothek ist wohl sehr leistungsf\u00e4hig und flexibel und auch recht popul\u00e4r. Daher wird diese Bibliothek in fast jeder Java-Anwendung zur Protokollierung verwendet.<\/p>\n

Leider gibt es in log4j eine ungepatchte Schwachstelle in der JNDI-Lookup-Funktion. Die JNDI-Lookup-Funktion von log4j erm\u00f6glicht den Abruf von Variablen \u00fcber das JNDI – Java Naming and Directory Interface. Dabei handelt es sich um eine API, die Java-Anwendungen Namens- und Verzeichnisfunktionen zur Verf\u00fcgung stellt. Es gibt zwar viele M\u00f6glichkeiten, aber log4j unterst\u00fctzt (AFAIK) LDAP und RMI (Remote Method Invocation).<\/p>\n

Schwachstelle CVE-2021-44228<\/h2>\n

Am 9. Dezember 2021 wurde ein Proof of Concept<\/a> (PoC) f\u00fcr die Remote Code Execution-Schwachstelle in log4j ver\u00f6ffentlicht. Der PoC ben\u00f6tigt nur wenige Zeilen Code mit dem eine Zeichenkette in Form einer URL in die Protokolldatei schreibt. Der Verzeichnisdienst JNDI kontaktiert darauf hin den im Protokoll aufgef\u00fchrten LDAP-Server, um von diesem Daten anzufordern. Das kann auch Java-Klassen umfassen, die dann ausgef\u00fchrt werden. Gelingt es einem Angreifer die URL auf einen von ihm kontrollierten Server in der Protokolldatei anzugeben, kann er einen Server \u00fcber das Logging kapern (Log4Shell).<\/p>\n

Die Schwachstelle CVE-2021-44228<\/a> wird laut heise als kritisch bewertet und hat den CVE-Index 10 (von 10 m\u00f6glichen Punkten) erhalten. Die Pen-Testing-Gruppe 0x0021h, die den PoC-Exploit entwickelte, gibt an, dass dieser f\u00fcr Apache Struts2, Apache Solr, Apache Druid, Apache Flink und funktioniert. Auf dieser GitHub-Seite<\/a> werden betroffene Dienste aufgelistet – da ist alles dabei, was Rang und Namen hat. Neben Apple iCloud, Amazon, CloudFlare, Steam, Twitter und selbst das popul\u00e4re Mindcraft ist alles dabei. Laut Bleeping Computer<\/a> wurde Minecraft aber bereits per Notfall-Patch \u00fcber die Version Minecraft: Java Edition 1.18.1<\/a> geflickt.<\/p>\n

Administratoren von Anwendungen sollten nach Updates der Software-Hersteller Ausschau halten und diese zeitnah installieren. Da die Ausnutzung der Sicherheitsl\u00fccke es erfordert, dass der betroffene Server\/Client einen anderen Server im Internet erreicht (der die JNDI-Referenz bereitstellt), k\u00f6nnen laut SANS-Institute<\/a> die folgenden Ma\u00dfnahmen durchgef\u00fchrt werden:<\/p>\n