Termin vereinbaren
Aktuelles

Schutz vor Log4Shell-Lücke verbessert

Schutz vor Log4Shell-Lücke verbessert – Die Lösung für die Sicherheitslücke in Log4j?

Die Sicherheitslücke in der Java-Komponente Log4j (Logging for Java) hat in den letzten Tagen vermehrt für Aufruhr in den digitalen Branchen gesorgt. Betroffen waren hier die Versionen 2.0 bis 2.14.x, da diese anfällig für Remote Code Execution (RCE) sind. Auch die 1.x-Versionen waren betroffen, sofern Adapter verwendet wurden die Java Naming and Directory Interface (JNDI) unterstützen. Außerdem erhalten sie seit August 2015 bereits keinen Support sowie auch keine Sicherheitspatches mehr. Doch nun haben die Entwickler dieses Frameworks zur Behebung dieser Problematik reagiert.

Log4Shell bezeichnet die Möglichkeit, dass Hacker einen Fehler in der Java-Codebibliothek ausnutzen können und dadurch die Möglichkeit besitzen, jeden System-Code auszuführen. Um dem entgegenzuwirken, haben die Entwickler jetzt in Version 2.16.0 die Schutzmaßnahmen verbessert. Es stellte sich nämlich weiter heraus, dass die Möglichkeit zum Ausnutzen der Schwachstelle unabhängig von der Java-Version und bestimmten Java-Sicherheitseinstellungen besteht. Dementsprechend bietet nur ein Update der Log4j-Bibliothek einen verlässlichen Schutz. Bislang liegen allerdings noch keine gesicherten Erkenntnisse zu möglichen Nebenwirkungen des neuen Updates vor.

In der Log4j Version 2.16.0 haben die Programmierer nun als Reaktion darauf den Code entfernt, der die Nachrichten in den Logs mit den fatalen URL-Einträgen zu potenziell bösartigen LDAP-Servern analysiert. Des Weiteren haben die Entwickler das Java Naming and Directory Interface (JNDI) komplett deaktiviert. Nutzer können diesen zwar wieder manuell aktivieren, jedoch stelle er laut der Versionsankündigung der Entwickler in ungeschützter Umgebung ein hohes Sicherheitsrisiko dar. Die ursprüngliche Fehlerkorrektur hat bisher nicht in allen Konfigurationen vollständig gegriffen, wenn daher kein Update auf Log4j Version 2.16.0 möglich ist, kann dagegen das Entfernen der Jndi-Lookup-Klasse helfen.

Wenn Ihnen dieser Beitrag gefallen hat und Sie auch Interesse an Compliance-Themen besitzen, können Sie hier ebenfalls interessante Blogbeiträge finden.


Einfach. Webbasiert. Individuell.

Wenn Sie Interesse an einer E-Learning Software haben, einen  bestehenden Kurs für Ihre Mitarbeiter buchen möchten, oder einfach mal wissen wollen wie ein fertiger Kurs aussieht, können Sie sehr gerne Ihre Kontaktdaten im Anfrage-Formular hinterlassen und einer unserer Mitarbeiter wird sich innerhalb von 24 Stunden mit Ihnen in Verbindung setzen.

Gerne erstellen wir Ihnen ein kostenlosen Demo-Zugang mit Zugriff auf einen unserer Kurse.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Fill out this field
Fill out this field
Bitte geben Sie eine gültige E-Mail-Adresse ein.

Menü