Schutz vor Log4Shell-Lücke verbessert – Die Lösung für die Sicherheitslücke in Log4j?

Die Sicherheitslücke in der Java-Komponente Log4j (Logging for Java) hat in den letzten Tagen vermehrt für Aufruhr in den digitalen Branchen gesorgt. Betroffen waren hier die Versionen 2.0 bis 2.14.x, da diese anfällig für Remote Code Execution (RCE) sind. Auch die 1.x-Versionen waren betroffen, sofern Adapter verwendet wurden die Java Naming and Directory Interface (JNDI) unterstützen. Außerdem erhalten sie seit August 2015 bereits keinen Support sowie auch keine Sicherheitspatches mehr. Doch nun haben die Entwickler dieses Frameworks zur Behebung dieser Problematik reagiert.

Log4Shell bezeichnet die Möglichkeit, dass Hacker einen Fehler in der Java-Codebibliothek ausnutzen können und dadurch die Möglichkeit besitzen, jeden System-Code auszuführen. Um dem entgegenzuwirken, haben die Entwickler jetzt in Version 2.16.0 die Schutzmaßnahmen verbessert. Es stellte sich nämlich weiter heraus, dass die Möglichkeit zum Ausnutzen der Schwachstelle unabhängig von der Java-Version und bestimmten Java-Sicherheitseinstellungen besteht. Dementsprechend bietet nur ein Update der Log4j-Bibliothek einen verlässlichen Schutz. Bislang liegen allerdings noch keine gesicherten Erkenntnisse zu möglichen Nebenwirkungen des neuen Updates vor.

In der Log4j Version 2.16.0 haben die Programmierer nun als Reaktion darauf den Code entfernt, der die Nachrichten in den Logs mit den fatalen URL-Einträgen zu potenziell bösartigen LDAP-Servern analysiert. Des Weiteren haben die Entwickler das Java Naming and Directory Interface (JNDI) komplett deaktiviert. Nutzer können diesen zwar wieder manuell aktivieren, jedoch stelle er laut der Versionsankündigung der Entwickler in ungeschützter Umgebung ein hohes Sicherheitsrisiko dar. Die ursprüngliche Fehlerkorrektur hat bisher nicht in allen Konfigurationen vollständig gegriffen, wenn daher kein Update auf Log4j Version 2.16.0 möglich ist, kann dagegen das Entfernen der Jndi-Lookup-Klasse helfen.