In den letzten Tagen wurde die kritische Schwachstelle "Log4Shell" (CVE-2021-44228) in der Java-Bibliothek "log4j" bekannt, die in vielen Java-basierten Anwendungen verwendet wird. Die Schwachstelle ist mit dem CVSS Score 10.0 höchst kritisch und ermöglicht in vielen Fällen eine Kompromittierung eines verwundbaren Systems mit nur einer Anfrage durch den Angreifer. Auch das BSI bewertet die Schwachstelle als extrem kritisch (IT-Bedrohungslage: 4 / Rot).
Alle Betreiber von Diensten müssen überprüfen, ob die Bibliothek im Einsatz ist. Falls dies der Fall ist und der Dienst potentiell angreifbar ist, muss umgehend ein Update eingespielt oder ein Workaround benutzt werden (siehe BSI Warnmeldung). Bei Unsicherheit kann auch nach der JAR-Datei der Bibliothek gesucht werden ("log4j*.jar"). Insbesondere wenn der Dienst von extern erreichbar ist, muss überprüft werden, ob das System möglicherweise bereits kompromittiert ist!
Betroffen sind alle Versionen von log4j zwischen 1.0 und 2.14.1.
In den Versionen 1.x ist die Verwundbarkeit nur über eine schadhafte Programmkonfiguration ausnutzbar, weshalb das BSI die Ausnutzung als weniger wahrscheinlich bewertet.
