Schwere Lücke in log4j (CVSS 10/10): Zahlreiche Java-Anwendungen betroffen, u.a. Apple, Steam, Twitter, Amazon und mehr (CVE-2021-44228)

**mupan** · 20.12.2021, 00:21

Zitat von Bob Marley

Deine Erfahrungen mit den Herstellern ist leider nicht selten. Vor allem bei proprietärer Software sitzen die auch meiner Erfahrung nach auf einem hohen Ross und liefern Updates teilweise nur wenn man zahlt. Was ein Unding ist wenn man bedenkt, dass die Lücke ja bereits zum Kaufzeitpunkt vorhanden ist.

Ein klares Jein ;-) Wenn du Standardsoftware gekauft hast, kannst du diese Kundenposition einnehmen. Leider hab ich es nie mit Standardsoftware zu tun.

**DMW007** · 20.12.2021, 01:34

UPDATE: Es gibt mit CVE-2021-45105 eine dritte Schwachstelle in log4j. Auch die jüngste 2.16.0 ist betroffen. Die dritte Schwachstelle hat einen CVSS-Score von 7.5/10 und ist - wie der in 2.16 behobene Vorgänger - eine DoS-Schwachstelle. Man kann durch rekursive Abfragen den Server überlasten, sodass dieser nicht mehr für andere Nutzer zur Verfügung steht. Version 2.17.0 soll diesen Fehler korrigieren. Über die zwei vorherigen hatte ich in einem gesonderten Beitrag bereits berichtet.

UPDATE 22.12.2021: Das vorherige Update ist nun auch als Video-Beitrag verfügbar.

**Bob Marley** · 22.12.2021, 12:56

Zitat von mupan

Ein klares Jein ;-) Wenn du Standardsoftware gekauft hast, kannst du diese Kundenposition einnehmen. Leider hab ich es nie mit Standardsoftware zu tun.

Auch dafür wird es ja einen verantwortlichen geben. Bei Eigenentwicklungen hat man hier sogar Vorteile, weil man selbst die volle Kontrolle hat und eingreifen kann. Oder eben den Dienstleister beauftragt, der das für einen entwickelt hat, falls es keine In-House Anwendung war.

Bei proprietärer Software dagegen ist man voll vom Hersteller abhängig. Diese Abhängigkeit sehe ich nur als Vorteil, wenn es einem um reine Compliance geht. Also einen Buhmann haben, auf dem man mit dem Finger zeigen kann. Geht es dagegen um das beste Ergebnis, also eine konstruktive Lösung, dann ist das freilich eher hinderlich.

**U-Labs YouTube** · 22.12.2021, 14:32

Das Problem ist allgemein weil dies so beliebt ist folgen wir alle blindlings ( Bestes Beispiel Auslagerung der Produktion der Chips) und deswegen haben wir dieses Problem ein Plan b oder c gibt es dann nicht.

Kommentar von cubytischer.

**DMW007** · 22.12.2021, 18:55

Das blindlings ist mMn das Problem: Dadurch sehen viele gar nicht, wie ihr Projekt von Drittanbieter-Paketen abhängig ist. Damit müsste sorgsamer umgegangen werden. In dem Moment, wo man sich Drittanbieter-Code in sein Projekt holt, sollte man damit genau so sensibel umgehen, wie mit eigenem Code. Modularität ist cool und nützlich, aber das birgt eben auch seine Risiken. Die sollte man minimieren, was derzeit noch nicht im Trend zu liegen scheint.

Wir werden daher in den nächsten Wochen sicher einige weitere Angriffe beobachten können. Es wird Systeme treffen, die Log4j über X Ecken von Abhängigkeiten einsetzen, ohne es zu wissen, weil sie keine Kontrolle mehr über ihre Abhängigkeiten haben. Und natürlich die üblichen Verdächtigen, die Updates nicht zeitnah einspielen. Auch da wird es ein paar erwischen. Hoffen wir mal, dass nichts all zu kritisches dabei ist.

**U-Labs YouTube** · 22.12.2021, 18:59

Also wenn ich minecraft spiele oder andere Programme nutze sollte ich immer gucken das ich auf dem neusten Stand bin ne?

Kommentar von Jackbloons.

**DMW007** · 22.12.2021, 23:12

Ja. Sämtliche Programme inkl. Betriebssystem auf dem aktuellsten Stand zu halten, ist eine der wichtigsten Grundlagen für sichere IT-Systeme. Das gilt nicht nur für die Lücken in Log4Shell, sondern generell. Es werden regelmäßig neue Sicherheitslücken bekannt, die von verantwortungsvollen Herstellern zeitnah und nachhaltig in Form von Updates verteilt werden.

**U-Labs YouTube** · 22.12.2021, 23:19

Moin, ich kenne mich praktisch gar nicht mit programmieren aus. Ich habe den Code in Visual Studio Code. Wie führe ich den Code aus und wo wird mir das Ergebnis angezeigt? Visual Studio wurde gerade ohne Extentions installiert.

Kommentar von Sascha /.

**DMW007** · 22.12.2021, 23:19

Hi,

welchen Code meinst du? Die Befehle im Video sind für Linux Workstations und Server gedacht und suchen nach der Log4j Bibliothek. Wenn du dort Treffer findest, wie gesagt nach Möglichkeit die Software, zu der sie gehören, aktualisieren. Oder eben die gezeigten Workarounds anwenden. Wie das konkret funktioniert, variiert je nach verwendeter Software.

Visual Studio oder Visual Studio Code (letzteres ist ein Texteditor, Ersterer eine Entwicklungsumgebung) brauchst du dafür nicht zwingend. Den Texteditor habe ich nur zum zeigen der Workarounds verwendet.

**U-Labs YouTube** · 22.12.2021, 23:24

Betrifft das ausschließlich log4j oder auch andere libraries aus den apache logging services? Bspw log4net...

Kommentar von Großer Gurken Bruder.

U-Labs

Account-Boerse

U-IMG

Thema: Schwere Lücke in log4j (CVSS 10/10): Zahlreiche Java-Anwendungen betroffen, u.a. Apple, Steam, Twitter, Amazon und mehr (CVE-2021-44228)

AW: Schwere Lücke in log4j (CVSS 10/10): Zahlreiche Java-Anwendungen betroffen, u.a. Apple, Steam, T

The Following User Says Thank You to DMW007 For This Useful Post:

The Following User Says Thank You to DMW007 For This Useful Post:

The Following User Says Thank You to U-Labs YouTube For This Useful Post: