Kritische Sicherheitslücke in der Apache Log4j-Bibliothek

das Bundesamt für Sicherheit in der Informationstechnik hat am 13.12.2021 eine kritische Schwachstelle in Log4j (CVE-2021-44228) veröffentlicht und diese auf Warnstufe 4/Rot gesetzt.

Sachverhalt:
Log4j ist eine beliebte Protokollierungsbibliothek für Java-Anwendungen. Sie dient der performanten Aggregation von Protokolldaten einer Anwendung. Das Blog eines Dienstleisters für IT-Sicherheit [LUN2021] berichtet über die Schwachstelle CVE-2021-44228 [MIT2021] in Log4j in den Versionen 2.0 bis 2.14.1, die es Angreifern gegebenenfalls ermöglicht, auf dem Zielsystem eigenen Programmcode auszuführen und so den Server zu kompromittieren. Diese Gefahr besteht dann, wenn Log4j verwendet wird, um eine vom Angreifer kontrollierte Zeichenkette wie beispielsweise den HTTP User Agent zu protokollieren.

Update 4:
Inzwischen wurde die Liste mit der Informationssammlung durch NCSC-NL [NCSC2021] veröffentlicht. Entgegen der anderslautenden ursprünglichen Annahme ist Berichten zufolge die Programmbibliothek auch in den Versionen 1.x verwundbar. In diesen Fällen sei die Verwundbarkeit jedoch nur über eine schadhafte Programmkonfiguration ausnutzbar, sodass eine Ausnutzung weit weniger wahrscheinlich erscheint.

Aussage zu b4:

Unsere b4-Versionen verwenden innerhalb b4 Controller, b4 Agenten und b4 Bots die Log4j-Bibliothek Version 1.2. Die als in den Versionen 1.x schadhaft eingestuften Programmierschnittstellen „Java Naming and Directory Interface (JNDI)“ und „Java Message Service (JMS)“ werden nicht in b4 genutzt.

Obwohl das in b4 integrierte Log4j als unwahrscheinliche Schwachstelle eingestuft ist, werden wir Informationen hierzu weiterhin aktiv verfolgen und raten unseren Kunden und Partner die vom BSI gegebenen Minderungsmaßnahmen wahrzunehmen.

Die Aktualisierung von b4 mit einer nicht-verwundbaren Log4J Version 2.x wird mit b4 V7.5 (Release geplant in April 2022) bereitgestellt.