Den Noutfallpatch fir déi berühmt Schwachstelle an der Java Bibliothéik Log4j ass net onsécher. D'Apache Software Foundation verëffentlecht eng nei Versioun fir d'Schwachheet eemol a fir all ze fixéieren.
Eng Schwachstelle an enger ganz populärer Bibliothéik fir Java rëselt déi global IT Landschaft. Et gëtt geschat datt d'Bibliothéik an de meeschte Firmenëmfeld existéiert.
Log4j gëtt haaptsächlech fir Logbicher benotzt. Eventer an Uwendungen kënne mat Notizen registréiert ginn. Denkt un e Printout vun de Logindetailer no engem Umeldungsversuch. Oder, am Fall vun enger Webapplikatioun op Java, den Numm vum Browser mat deem de Benotzer probéiert ze verbannen.
Déi lescht Beispiller sinn allgemeng. A béide Fäll beaflosst en externe Benotzer de Log, deen de Log4j erausgëtt. Et ass méiglech dësen Afloss ze mëssbrauchen. D'Logbicher vun all Log4j Versioun tëscht September 13, 2013 a Dezember 5, 2021 kënnen Java Uwendungen instruéieren de Code vun engem Remote Server op engem lokalen Apparat ze lafen.
Zënter 2013 huet Log4j eng API veraarbecht: JNDI, oder Java Naming and Directory Interface. D'Zousatz vum JNDI erlaabt eng Java Applikatioun Code vun engem Remote Server op engem lokalen Apparat ze lafen. Programméierer instruéieren andeems se eng eenzeg Zeil vun Detailer iwwer de Fernserver an enger Applikatioun bäidroen.
De Problem ass datt net nëmmen Programméierer fäeg sinn d'Regel un Uwendungen ze addéieren. Ugeholl datt Log4j d'Benotzernimm vun de Loginversich protokolléiert. Wann iergendeen déi uewe genannte Linn am Benotzernummfeld agitt, fiert Log4j d'Linn an d'Java-Applikatioun interpretéiert e Kommando fir de Code op de spezifizéierte Server auszeféieren. Datselwecht gëlt fir Fäll wou Log4j eng HTTPS Ufro protokolléiert. Wann Dir e Browser Numm op d'Linn ännert, leeft Log4j d'Linn, indirekt instruéiert et Code ze lafen wéi gewënscht.
Noutfall Patch kann och onsécher sinn
Den 9. Dezember koum d'Schwachheet op enger grousser Skala. D'Apache Software Foundation, Entwéckler vu Log4j, huet en Noutfallpatch (2.15) verëffentlecht fir d'Schwachheet ze fixéieren. Zënterhier ass et eng Haaptprioritéit fir Software Ubidder fir d'Versioun 2.15 ze veraarbecht an e Patch fir Organisatiounen ze bidden.
D'Sécherheetsorganisatioun LunaSec seet awer, datt de Patch net ganz waasserdicht ass. Et bleift méiglech eng Astellung unzepassen an protokolléiert JNDI Kommandoen auszeféieren.
Opgepasst: déi entspriechend Astellung muss manuell ugepasst ginn, sou datt onverännert Varianten vun 2.15 wierklech sécher sinn. Trotzdem recommandéiert d'Luna Sec datt Liwweranten an Organisatiounen op Log4j 2.16 aktualiséieren. 2.16 gouf vun der Apache Software Foundation als Äntwert op LunaSec publizéiert. Déi nei Versioun läscht komplett de vulnérabele Kader, wat et onméiglech mécht d'Konditioune fir Mëssbrauch ze kreéieren.