Log4shell Zero-Day-Sicherheitslücke
Die Log4shell Zero-Day-Sicherheitslücke (CVE-2021-44228) wurde am 10.12.2021 veröffentlicht.[1] Diese Sicherheitslücke betrifft die beliebte Log4j Protokollierungsbibliothek für Java-Anwendungen. Ein Dienstleister für IT-Sicherheit berichtet über diese Schwachstelle in log4j, die es Angreifern gegebenenfalls ermöglicht, auf dem Zielsystem eigenen Programmcode auszuführen und so den Server zu kompromittieren.[2] In diesem Artikel finden Sie Informationen zu den betroffenen Versionen von log4j, sowie Hinweise und Links zu Herstellerinformationen.
Informationen des BSI zur Sicherheitslücke
Das Bundesamt für Sicherheit in der Informationstechnik hat dazu bereits ein PDF auf deren Website, hier ein Auszug:[3]
Betroffene Version
Laut Apache Software Foundation sind log4j Versionen von 2.0-beta9 bis 2.14.1 verwundbar.[4]
Gepatchte Version
Die Apache Software Foundation hat eine gepatchte Log4j Version 2.16.0 veröffentlicht.[4]
Risikoeinstufung
Das BSI stuft das Risiko durch die Sicherheitslücke auf der sogenannten CVSS-Skala mit 10 ein, dem höchstmöglichen Wert. Die Behörde hat daher Samstagabend, den 11.12.2021 die IT-Bedrohungslage auf die Warnstufe 4 / Rot erhöht.
Informationen der Hersteller
Informationen zu den Auswirkungen und den erforderlichen Updates und Konfigurationsanpassungen zum Schließen der Log4shell Sicherheitslücke finden Sie auf den folgenden Webseiten der Betriebssystem-Hersteller. Wir haben bereits bei verschiedenen Herstellern um Statements bezüglich der Verwundbarkeit gebeten. Wir werden diese Liste laufend erweitern, wenn weitere Erkenntnisse über weitere betroffene Produkte einlangen.
Hersteller / Software | Betroffen von Log4shell | Anmerkungen |
---|---|---|
Ubuntu | Ja, Patches für apache-log4j2 verfügbar | CVE-2021-44228 |
Debian | Ja, Patches für apache-log4j2 verfügbar | CVE-2021-44228 |
RHEL | Ja, Patches verfügbar | CVE-2021-44228 |
Univention Corporate Server | Informationen verfügbar | Status of log4j/log4shell Vulnerability CVE-2021-44228 in UCS and Apps |
Intel | Informationen zu Intel Software Produkten verfügbar | Intel Product Advisory for Apache Log4j2 Vulnerabilities (CVE-2021-44228 & CVE-2021-45046) |
Microsoft | Informationen verfügbar | Microsoft’s Response to CVE-2021-44228 Apache Log4j 2 |
VMware | Ja, Patches und Workarounds teilweise verfügbar | VMSA-2021-0028.1 |
OPNsense | Nein, laut Entwickler nicht betroffen | log4j and OPNsense |
Proxmox | Nein, laut Forum nicht betroffen | ProxMox log4j / CVE-2021-44228 |
Synology | Nein | Synology-SA-21:30 Log4Shell |
Broadcom | Nein: LSI Storage Authority (LSA), verwendet kein Java | Broadcom Response to Log4j Vulnerability |
Ja: Der MegaRAID Storage Manager von Version 17.06.02.01 bis zu Version 17.05.04.00 ist betroffen, Updates werden bald veröffentlicht. Siehe PDF Dokument von Broadcom: Log4j2 Exposure (CVE-2021-44228) | ||
Sunny Valley | Nein: ZENARMOUR (Sensei) | Apache Log4j RCE Status Update |
Hinweis zu Elasticsearch Backend: "Elasticsearch is not susceptible to remote code execution with this vulnerability due to our use of the Java Security Manager, however we are making a fix available for an information leakage attack also associated with this vulnerability." | ||
Supermicro BIOS und BMC (IPMI) Firmware | Nein | |
ASUS BMC (IPMI) Firmware | Die Module ASMB8-10 sind nicht betroffen, bei den älteren Modulen warten wir noch auf Rückmeldung des Herstellers. | |
Supermicro Management Software | Ja: Supermicro Power Manager (SPM), eine neue gepatchte Version ist in Entwicklung. | |
Nein: Supermicro Server Manager (SSM), Superdoctor, Supermicro Update Manager (SUM) | ||
Microchip Adaptec | Ja, maxView ist betroffen, Patch verfügbar. | Storage Management Response to Apache Log4j Remote Code Execution Vulnerability (CVE-2021-44228) |
Weitere betroffene Systeme
- Auflistung betroffener Hersteller: Log4jAttackSurface
- Linksammlung betroffener Hersteller: BlueTeam CheatSheet * Log4Shell*
Weitere Informationen
- Kritische Zero-Day-Lücke in Log4j gefährdet zahlreiche Server und Apps (heise.de, 10.12.2021)
- Warnstufe Rot: Schwachstelle Log4Shell führt zu extrem kritischer Bedrohungslage (bsi.bund.de, 11.12.2021)
- Warnstufe Rot: Sicherheitslücke gefährdet die IT zahlreicher Unternehmen (handelsblatt.com, 11.12.2021)
Einzelnachweise
- ↑ CVE-2021-44228 (nvd.nist.gov)
- ↑ Log4Shell: RCE 0-day exploit found in log4j 2, a popular Java logging package
- ↑ Kritische Schwachstelle in log4j veröffentlicht (CVE-2021-44228) (bsi.bund.de)
- ↑ 4,0 4,1 Apache Log4j Security Vulnerabilities (logging.apache.org)
Autor: Niklas Göttl Niklas begann bereits 2017 seine Ausbildung nach erfolgreichem Schulabschluss bei der Thomas-Krenn.AG. Nach erfolgreichem Abschluss unterstützt er nun vollständig den technischen Support um den Kunden schnell und kompetent Problemlösungen bieten zu können.
|
Autor: Thomas Niedermeier Thomas Niedermeier arbeitet im Product Management Team von Thomas-Krenn. Er absolvierte an der Hochschule Deggendorf sein Studium zum Bachelor Wirtschaftsinformatik. Seit 2013 ist Thomas bei Thomas-Krenn beschäftigt und kümmert sich unter anderem um OPNsense Firewalls, das Thomas-Krenn-Wiki und Firmware Sicherheitsupdates. |