2021-2680: Apache Log4j: Eine Schwachstelle ermöglicht das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2021-12-29 09:46)

Neues Advisory

Version 2 (2021-12-30 18:13)

Für Debian 9 Stretch (LTS) steht ein Sicherheitsupdate für 'apache-log4j2' in Version 2.12.4-0+deb9u1 bereit, um die Schwachstelle zu beheben.

Version 3 (2022-01-03 09:28)

Für openSUSE Leap 15.2 und 15.3 stehen Sicherheitsupdates für 'log4j' bereit, um die Schwachstelle zu beheben.

Version 4 (2022-01-17 10:12)

IBM gibt an, dass IBM Spectrum Protect Snapshot for VMware in den Versionen 4.1.6.10 bis 4.1.6.14 von der Schwachstelle in Apache Log4j betroffen ist. Als Sicherheitsupdate steht Version 4.1.6.15 bereit, mit der Log4j 2.17.1 ausgeliefert wird.

Version 5 (2022-01-21 09:27)

Für Red Hat OpenShift Container Platform 4.7 für Red Hat Enterprise Linux 8 (x86_64) steht ein Sicherheitsupdate bereit mit dem die Schwachstelle in OpenShift Logging adressiert wird. Die Schwachstelle wird mit OpenShift Logging 5.0.12 behoben.

Version 6 (2022-01-25 09:11)

IBM informiert darüber, dass auch IBM Db2 Version 11.5 von der Schwachstelle in der Apache Log4j Open Source Bibliothek betroffen ist, da die Bibliothek durch das Db2 Federation Feature verwendet wird. Zur Behebung der Schwachstelle wird 'log4j' auf Version 2.17.1 aktualisiert.

Version 7 (2022-01-27 16:33)

Für Red Hat OpenShift Container Platform 4.6 for RHEL 8 (x86_64) steht ein Sicherheitsupdate auf die Version 4.6.54 bereit, um die Schwachstelle zu beheben.

Version 8 (2022-02-01 10:56)

IBM informiert über die Schwachstelle in IBM Spectrum Protect Plus in den Versionen 10.1.0.0 - 10.1.9.2 für Linux sowie IBM Spectrum Protect Plus Container Backup and Restore for Kubernetes / OpenShift in den Versionen 10.1.9.0 - 10.1.9.2 für Linux und stellt für alle die Version 10.1.9.3 als Sicherheitsupdate zu Verfügung.

Version 9 (2022-02-17 10:43)

Für Red Hat OpenShift Container Platform 4.7 for RHEL 8 (x86_64) steht als Sicherheitsupdate die Version 4.7.43 und für Red Hat OpenShift Container Platform 4.8 for RHEL 8 (x86_64) steht als Sicherheitsupdate die Version 4.8.31 bereit, um die Schwachstelle zu beheben. Es werden jeweils weitere Schwachstellen aufgeführt, welche wahrscheinlich abhängige Pakete betreffen.

Version 10 (2022-02-25 09:50)

IBM informiert darüber, dass IBM Db2 Version 11.5 von der Schwachstelle in der Apache Log4j Open Source Bibliothek nur betroffen ist, wenn auf einem Unix-System Federation Wrappers konfiguriert sind (DVM JDBC wrapper driver, NoSQL wrapper driver (for Hadoop), Blockchain wrapper driver (for Hyperledger Fabric, Linux 64-bit, x86-64 only). Wenn diese nicht verwendet werden, können als Workaround die Log4j-Dateien entfernt werden.

Version 11 (2022-03-09 09:24)

IBM informiert mit einem Update über die Korrektur einer Download URL für Special Builds für Db2 zur Behebung der Schwachstelle.

Version 12 (2022-11-14 10:10)

Der Hersteller hat IBM Security Bulletins 6549888 aktualisiert und stellt nun IBM Db2 in der Version 11.5.8 zur Verfügung.

Betroffene Software

Datensicherung
Entwicklung
Netzwerk
Server
Sicherheit
Systemsoftware
Virtualisierung

Betroffene Plattformen

HP
IBM
Apple
Linux
Microsoft
Oracle
UNIX

Beschreibung:

Ein Angreifer mit der Möglichkeit, die Konfigurationsdatei von Log4j zu manipulieren, kann die Schwachstelle aus der Ferne ausnutzen, um beliebigen Programmcode auszuführen.

Der Hersteller informiert über die Schwachstelle und stellt Apache Log4j 2.3.2 für Java 6, 2.12.4 für Java 7 und 2.17.1 für Java 8 als Sicherheitsupdates zu deren Behebung zur Verfügung.

Für Fedora 34 und 35 stehen Sicherheitsupdates auf Version 2.17.1 im Status 'testing' zur Verfügung.

Schwachstellen:

CVE-2021-44832

Schwachstelle in Apache Log4j ermöglicht Ausführen beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.