Seit letzten Donnerstag klingeln rund um den Globus die Alarmglocken. Java-Anwendungen, die die log4j2 Library nutzen, sind durch die Zero Day-Schwachstelle CVE-2021-44228 verwundbar und müssen gepatcht werden. Bei log4j handelt es sich um ein sehr beliebtes Logging-Paket für Java. Es ist sehr leistungsfähig und flexibel und wird in fast jeder Java-Anwendung verwendet.
Kein Wunder, denn es erlaubt Administratoren, einfach eine Instanz der log4j-Klasse zu erstellen und diese dann auf der Grundlage der bereitgestellten Konfigurationsparameter für die Protokollierung zu verwenden. Am Wochenende wurde ein Exploit-Versuch für eine Remote Code Execution Schwachstelle in log4j veröffentlicht. Jedes Eingabefeld, das von einem Angreifer kontrolliert und an die log4j-Bibliothek übergeben wird, kann zu einer Remote Code-Ausführung führen.
Wichtig ist zu wissen, dass jede Anwendung betroffen ist, die eine verwundbare log4j-Version verwendet. Es spielt keine Rolle, ob es sich um eine serverseitige Anwendung oder eine clientseitige Anwendung handelt - solange sie eine Eingabe von einem Angreifer liest und diese an die log4-Bibliothek weitergibt. Die Behebung der Schwachstelle in all diesen Anwendungen könnte Monate dauern.