CVE-2021-44228 – Kritische Lücke in Apache-Komponente
Am Wochenende wurde eine hochkritische Sicherheitslücke in der Komponente Log4j des weitläufig eingesetzten Webservers Apache bekannt. Die Lücke erlaubt es einem Angreifer, JNDI-basierte Features wie LDAP-Endpunkte zu nutzen, um beliebigen Code auszuführen. Aufgrund der Tragweite, der weiten Verbreitung und der vergleichsweise einfachen Ausnutzbarkeit der Lücke wurde diese mit einem CVSSv3-Score von 10/10 bewertet. Das BSI hat hierzu Warnstufe Rot ausgerufen.
Auf den folgenden Seiten erhalten Sie mehr Informationen:
- CVE – CVE-2021-44228 (mitre.org)
- BSI – Presse – Warnstufe Rot: Schwachstelle Log4Shell führt zu extrem kritischer Bedrohungslage (bund.de)
- Log4j – Apache Log4j Security Vulnerabilities
Im aktuellsten offiziellen Log4j-Release ist die Sicherheitslücke bereits behoben. Wer also einen öffentlichen Webserver auf Apache insbesondere mit der genannten Komponente selbst betreibt, sollte diesen möglichst zeitnah aktualisieren. Da Apache allerdings einer der am weitesten verbreiteten Open-Source-Webserver ist, welcher von unzähligen Anbietern in ihren Produkten eingesetzt wird, zieht die Schwachstelle weite Kreise.
Wir können hier keine umfassende Liste der von den Herstellern veröffentlichen Ratgeber zu diesem Thema aufführen, möchten aber besonders auf das aktuelle VMware Security Advisory hinweisen: VMSA-2021-0028.1 (vmware.com). Wir raten unseren Kunden dringend, den dort genannten Workaround für die betroffenen Produkte zu implementieren. Darüber hinaus raten wir, auf aktuelle Sicherheitsratgeber anderer Hersteller zu achten und dort genannte Updates oder Workarounds umzusetzen – das betrifft sowohl Anwendungen, die in Form einer Linux-Appliance realisiert sind, also auch Netzwerk-, Storage- und Server-Komponenten.
Sofern Sie hierbei Unterstützung oder Beratung benötigen, wenden Sie sich gerne auf gewohntem Wege an uns – entweder an Ihre bereits bekannten Ansprechpartner oder an info@mlnetwork.de bzw. unsere zentrale Rufnummer 02234 2777700.