Apache hat einen weiteren Patch für das inzwischen berüchtigte Dienstprogramm Log4j veröffentlicht, der eine neue Sicherheitslücke bei der Remotecodeausführung behebt.
Das Protokollierungsdienstprogramm stand einen Großteil des Dezembers im Rampenlicht der Cybersicherheits-Community, nachdem eine große Sicherheitslücke entdeckt wurde, die es böswilligen Akteuren mit sehr begrenzten Kenntnissen ermöglichte, Remote-Skripte auszuführen.
Dieses klaffende Loch wurde inzwischen behoben, aber die neuere Version des Rekorders hatte ihre eigenen Mängel, wenn auch nicht so gefährlich wie das Original. Kurz nachdem diese Schwachstelle behoben wurde, wurde ein weiteres Problem entdeckt.
Mit Log4j Version 2.17.1. wurde die neueste Schwachstelle (verfolgt als CVE-2021-44832) nun behoben. Alle Benutzer wurden gebeten, dem Update Priorität einzuräumen.
Ein weiterer Log4j-Patch
Die letzte Sicherheitslücke wird als Sicherheitslücke bezüglich Remotecodeausführung eingestuft, da in Log4j keine zusätzlichen Kontrollen für den JDNI-Zugriff vorhanden sind. Wie von BleepingComputer berichtet, wird die Schwachstelle als „mäßig“ eingestuft und erhielt gemäß dem Common Vulnerability Scoring System (CVSS) eine Bewertung von 6.6/10.
„Der JDBC-Appender muss den JndiManager verwenden, um auf JNDI zuzugreifen. Der Zugriff auf JNDI muss über eine Systemeigenschaft gesteuert werden“, heißt es in der Schwachstellenbeschreibung.
„Bezieht sich auf CVE-2021-44832, wo ein Angreifer mit der Berechtigung zum Ändern der Registrierungskonfigurationsdatei eine bösartige Konfiguration erstellen kann, indem er einen JDBC-Appender mit einer Datenquelle verwendet, die auf einen JNDI-URI verweist, der Code remote ausführen kann.“
Die ursprüngliche Log4j-Schwachstelle, die als CVE-2021-44228 verfolgt wird, erhielt den Spitznamen Log4Shell. Es ermöglichte Kriminellen, praktisch jeden Code aus der Ferne auszuführen, und angesichts der weit verbreiteten Verwendung von Log4j wurde es schnell zu einem Albtraum für Unternehmen und Regierungsorganisationen auf der ganzen Welt.
Jen Easterly, Direktorin der US-amerikanischen Cybersecurity and Infrastructure Security Agency (CISA), beschrieb es als „einen der schwerwiegendsten Fehler“, den sie in ihrer gesamten Karriere gesehen habe, „wenn nicht sogar den schwerwiegendsten“.
- Sie können sich auch unsere Liste der besten derzeit verfügbaren Antivirenlösungen ansehen.
Über BleepingComputer