Apache kann keine Pause vom Java-basierten Log4j-Protokollierungsdienstprogramm einlegen, da nun eine dritte große Schwachstelle entdeckt wurde.
Am Freitag veröffentlichte die Apache Software Foundation (ASF) eine Ankündigung, in der sie erklärte, dass ein kürzlich entdeckter Fehler behoben wurde. Die Organisation forderte außerdem alle Benutzer auf, sofort auf die neueste Version des Rekorders zu aktualisieren.
Kurz gesagt handelt es sich bei dem Fehler um einen unendlichen Rekursionsfehler, der zu einem DoS-Zustand auf dem betroffenen Server führt. So beschreibt die ASF das Problem:
„Die Apache Log2.0j1-Versionen 2.16.0-alpha4 bis 2 boten keinen Schutz vor der außer Kontrolle geratenen Rekursion selbstreferenzieller Suchen. Wenn die Registrierungskonfiguration ein anderes Vorlagenlayout als das Standardlayout mit einer Kontextsuche verwendet (z. B. €€{ctx:loginId}), können Angreifer, die Thread Context Map (MDC)-Eingabedaten kontrollieren, böswillige Anmeldedateneingaben mit rekursiven Suchvorgängen erstellen. , was zu einem StackOverflowError führt, der den Prozess beendet. Dies wird auch als Denial-of-Service-Angriff (DOS) bezeichnet.
Die neueste Version von Log4j (2.17.0) finden Sie unter diesem Link. Benutzer werden aufgefordert, sie überall dort zu installieren, wo Log4j ausgeführt wird. Wer seine Geräte nicht repariert, kann auch einen dieser Workarounds umsetzen:
- Ersetzen Sie in PatternLayout in der Registrierungskonfiguration Kontextsuchen wie €{ctx:loginId} oder €€{ctx:loginId} durch Thread-Kontextzuordnungsmuster (%X, %mdc oder %MDC).
- Entfernen Sie in der Konfiguration Verweise auf Kontextsuchen wie €{ctx:loginId} oder €€{ctx:loginId}, wenn sie aus Quellen außerhalb der Anwendung stammen, wie etwa HTTP-Headern oder Benutzereingaben.
Die größte Bedrohung seit Jahren
Das Dienstprogramm Log4j stand in den letzten zwei Wochen im Mittelpunkt eines Mediensturms, nachdem ein schwerwiegender Fehler entdeckt wurde, der Millionen von Geräten dem Risiko eines Datendiebstahls ausgesetzt hat.
Letzte Woche beschrieb Jen Easterly, Direktorin der US-amerikanischen Cybersecurity and Infrastructure Security Agency (CISA), es als „einen der gravierendsten Mängel“, die sie in ihrer gesamten Karriere gesehen habe, „abgesehen davon, umso schlimmer“.
„Wir gehen davon aus, dass die Schwachstelle von erfahrenen Akteuren umfassend ausgenutzt wird und wir nur wenig Zeit haben, die notwendigen Schritte zu unternehmen, um die Wahrscheinlichkeit eines Schadens zu verringern“, erklärte Easterly.
Es wird als CVE-2021-44228 verfolgt und ermöglicht es böswilligen Akteuren, praktisch jeden Code auszuführen. Die zum Ausnutzen der Schwachstelle erforderlichen Fähigkeiten seien sehr gering, warnten Experten und forderten alle auf, Log4j so schnell wie möglich zu patchen.
Der Fehler wird mit dem Problem aus dem Jahr 2017 verglichen, das zum Equifax-Hack führte, bei dem die persönlichen Daten von fast 150 Millionen Menschen offengelegt wurden.
Diese ursprüngliche Schwachstelle wurde in Log4j Version 2.15 behoben.
Durch die Registrierung