2021-2576: Apache Log4j: Zwei Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2021-12-10 16:12): Neues Advisory
Version 2 (2021-12-13 14:18): Für Debian 11 Bullseye (stable), Debian 10 Buster (oldstable) und Debian 9 Stretch (LTS) stehen Sicherheitsupdate für 'apache-log4j2' in den Versionen 2.15.0-1~deb11u1, 2.15.0-1~deb10u1 bzw. 2.7-2+deb9u1 bereit, um die Schwachstelle zu beheben. Für Debian 10 Buster (oldstable) wird zusätzlich die Schwachstelle CVE-2020-9488 als behoben aufgeführt, welche einem Angreifer das Ausspähen von Informationen aus der Ferne ermöglicht. Für Fedora 35 steht ein Sicherheitsupdate für 'log4j' auf Version 2.15.0 im Status 'testing' zur Verfügung und openSUSE veröffentlicht für openSUSE Leap 15.3 ebenfalls ein Sicherheitsupdate (siehe Package-Referenz, da die Sicherheitsupdate-Übersicht derzeit nicht auf dem aktuellen Stand bzw. zeitweise nicht erreichbar ist).
Version 3 (2021-12-14 11:47): Für Red Hat OpenShift Container Platform release 3.11.z steht ein Sicherheitsupdate bereit, um die Schwachstelle zu beheben.
Version 4 (2021-12-14 18:32): Canonical stellt für Ubuntu 21.10, Ubuntu 21.04, Ubuntu 20.04 LTS und Ubuntu 18.04 LTS Sicherheitsupdates für 'apache-log4j2' bereit, um die Schwachstelle zu beheben. Der Hersteller stellt Apache Log4j 2.16.0 bereit, womit 'Message Lookups' nun komplett entfernt und die Funktionalität von JNDI per Voreinstellung deaktiviert wird. Wird JNDI für Java, LDAP und LDAPS benötigt, ist es erforderlich 'log4j2.enableJndi=true' zu setzen. Für Fedora 34 und 35 stehen Sicherheitsupdates in Form der Pakete 'jansi-2.1.1-4.fc34', 'log4j-2.16.0-1.fc34' und 'log4j-2.16.0-1.fc35' im Status 'testing' bereit, womit Log4j auf Version 2.16.0 aktualisiert wird.
Version 5 (2021-12-15 12:49): Für Red Hat Openshift Application Runtimes stehen Red Hat build of Eclipse Vert.x 4.1.5 SP1 sowie Red Hat AMQ Streams 1.6.5 und 1.8.4 als Sicherheitsupdates bereit, um die Schwachstelle zu beheben. Ferner stehen für Red Hat OpenShift Container Platform Release 4.8.z und Red Hat JBoss Enterprise Application Platform 7.4 aktualisierte Pakete als Sicherheitsupdates zur Verfügung.
Version 6 (2021-12-16 13:01): Canonical stellt für Ubuntu 21.10, Ubuntu 21.04 sowie Ubuntu 20.04 LTS Sicherheitsupdates für 'apache-log4j2' auf die Version 2.16.0 bereit, welche auch die Schwachstelle CVE-2021-45046 beheben (hinzugefügt).
Version 7 (2021-12-17 08:41): Für openSUSE Leap 15.2 und 15.3 stehen Sicherheitsupdates für 'log4j' bereit, welche die Schwachstelle CVE-2021-44228 adressieren.
Version 8 (2021-12-17 09:13): Für openSUSE Leap 15.3 stehen neue Sicherheitsupdates für 'log4j' bereit, welche nun beiden Schwachstellen CVE-2021-44228 und CVE-2021-45046 adressieren.
Version 9 (2021-12-17 11:06): Mittlerweile wurde eine Technik entwickelt, durch die die Schwachstelle CVE-2021-45046 ebenfalls für die Ausführung beliebigen Programmcodes ausgenutzt werden kann. Benutzer von Java 8 oder später sollten auf Log4j 2.16.0 wechseln. Für Benutzer von Java 7 steht außer der Reihe Log4j 2.12.2 als Sicherheitsupdate bereit. Alternativ kann in Versionen vor 2.16.0 die Klasse 'JndiLookup' weiterhin aus dem Klassenpfad entfernt werden, um die Schwachstellen zu mitigieren.
Version 10 (2021-12-17 11:56): Für Debian 11 Bullseye (stable) steht als Sicherheitsupdate nun die Version 2.16.0-1~deb11u1 und für Debian 10 Buster (oldstable) die Version 2.16.0-1~deb10u1 von 'apache-log4j2' bereit, um auch die Schwachstelle CVE-2021-45046 zu beheben.
Version 11 (2021-12-17 16:17): Canonical stellt korrespondierend zu USN-5192-1 für Ubuntu 16.04 ESM ein Sicherheitsupdate für 'apache-log4j2' bereit, um die Schwachstelle CVE-2021-44228 zu beheben.
Version 12 (2021-12-20 16:45): Für openSUSE Leap 15.2 steht ein Sicherheitsupdate für 'log4j' bereit, um die beiden Schwachstellen und weitere mit Version 2.16.0 behobene Fehler zu adressieren.
Version 13 (2023-05-02 10:56): CISA hat die Schwachstelle CVE-2021-45046 in Apache Log4j2 in den Katalog ausgenutzter Schwachstellen aufgenommen.

Betroffene Software

Entwicklung
Server

Betroffene Plattformen

HP
IBM
Apple
Linux
Microsoft
Oracle
UNIX
Container

Beschreibung:

Ein Angreifer kann eine Schwachstelle aus der Ferne ausnutzen, um beliebigen Programmcode auszuführen, indem er durch gezielte Interaktion mit Anwendungen, die auf Log4j zurückgreifen, speziell präparierte Log-Nachrichten oder Log-Nachrichten-Parameter auf betroffene Systeme bringt.

Für die Ausnutzung der Schwachstelle sind keine Privilegien erforderlich und ein erfolgreicher Angriff kann Einfluss auf andere Komponenten haben.

Der Hersteller informiert über die als 0-Day-Schwachstelle vorab veröffentlichte Sicherheitslücke und stellt Apache Log4j 2.15.0 als Sicherheitsupdate bereit. Die Schwachstelle wird adressiert, indem die 'Message Lookup Substitution' standardmäßig deaktiviert und die Funktionalität von JNDI nur noch eingeschränkt und nur noch für Java, LDAP und LDAPS bereitgestellt wird. Diese Änderung kann Auswirkungen auf Anwendungen haben, die auf Log4j zurückgreifen. Die Änderungen an der Konfiguration der 'Message Lookup Substitution' können durch eine neu eingeführte Option rückgängig gemacht werden, von deren Benutzung der Hersteller abrät.

Schwachstellen:

CVE-2021-44228

Schwachstelle in Apache Log4j ermöglicht Ausführen beliebigen Programmcodes

CVE-2021-45046