Kritische 0-day Sicherheitslücke in Apache Log4j (Java logging library)
Am 09.12. wurde eine sehr kritische Sicherheitslücke in Apache log4j bekannt [1]. Diese erlaubt sog. remote code execution - also das entfernte Ausführen beliebigen Codes - durch einfaches senden eines speziell geformten Strings an den Server (es reicht u.U. das ändern des Clientnamens). Die Lücke wird bereits aktiv ausgenutzt [2].
Log4j ist praktisch das Standard logging Framework für Java und ist sehr weit verbreitet. Betroffen sind die Versionen:
2.0 <= Apache log4j <= 2.14.1.
Wer einen Server mit Java Applikationen betreibt (bspw. Tomcat) sollte dringend Maßnahmen ergreifen. Eine neue Version 2.15 steht zum Download bereit [3]. Wer nicht updaten kann sollte zum Mitigieren den folgenden Parameter beim starten der Java VM setzen [4]:
log4j2.formatMsgNoLookups=true;
[1] https://www.lunasec.io/docs/blog/log4j-zero-day/
[2] https://twitter.com/DTCERT/status/1469258597930614787
[3] https://logging.apache.org/log4j/2.x/download.html
[4] https://www.randori.com/blog/cve-2021-44228/