Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor einer kritischen Schwachstelle in der Java-Bibliothek log4j:
Betroffen sind die Versionen 2.0 bis 2.14.1. Eine erste Übersicht mit potentiell gefährdeter Software gibt es in einer Liste auf GitHub
Update 20.12.2021: Nach aktuellen Erkenntnissen reicht ein Update auf Version 2.15.0 nicht aus, um alle Schwachstellen zu schließen. Ein Update auf Version 2.17.0 ist angeraten. Siehe dazu auch Apache Log4j Security Vulnerabilities.
Wer dort aufgeführte Software einsetzt, muss die betroffenen Systeme dringend auf dieses Problem prüfen und ggf. Gegenmaßnahmen einleiten. Das BSI schlägt nach Möglichkeit ein Update auf Version 2.15.0 vor. Sollte dieses noch nicht zur Verfügung stehen, kann ab Version 2.10 vorerst folgende Option eingeschaltet werden:
Die Option „log4j2.formatMsgNoLookups“ sollte auf „true“ gesetzt
werden, indem die Java Virtual Machine mit dem Argument„–Dlog4j2.formatMsgNoLookups=True”
gestartet wird. Alternativ kann auch die Umgebungsvariable LOG4J_FORMAT_MSG_NO_LOOKUPS auf true gesetzt werden.
Sollte die Lookup-Funktion jedoch verwendet werden, kann es zu Beeinträchtigungen bei der Ausführung der Software kommen.
Schreibe einen Kommentar
Du musst angemeldet sein, um einen Kommentar abzugeben.