In Java klafft eine schwerwiegende Zero-Day-Schwachstelle, die Log4Shell getauft wurde und die Kennung
CVE-2021-44228 trägt. Davon betroffen ist die Java-Bibliothek Log4j (Logging for Java), ein quelloffenes Logging Tool von Apache. Angreifer können die Schwachstelle mittels nicht authentifizierter Remote Code Execution (RCE) ausnutzen und selbst ohne Login einen ungeschützten Server durch eine entsprechend modifiziert Anfrage dazu bringen, Schadcode herunterzuladen und diesen auszuführen. Damit wären sie unter anderem in der Lage, die Daten auf dem Server auszulesen und sogar zu modifizieren oder beispielsweise Kryptominer und andere Schadprogramme zu installieren.
Hoch problematisch und gefährlich ist die Log4Shell-Lücke vor allem auch deshalb, weil Log4j in einer Vielzahl von Applikationen zum Einsatz kommt. Experten gehen deshalb davon aus, dass die Schäden durch Cyberangriffe, welche die Schwachstelle ausnutzen, beträchtlich sein könnten. Seit der Entdeckung von Log4Shell in der vergangenen Woche wurden etliche Angriffe registriert, so wurden unter anderem Server des beliebten Spiels Minecraft angegriffen und kompromittiert, aber auch Unternehmen sind davor nicht gefeit.
Apache hat einen
Bericht zur Log4Shell-Schwachstelle aufgeschaltet und empfiehlt Administratoren eindringlich, Version 2.15.0 von Log4j auf ihren Servern zu installieren, in der die Zero-Day-Schwachstelle beseitigt wurde.
(luc)