Categories: Cybersicherheit

Zweite Sicherheitslücke in Java-Bibliothek Log4j entdeckt

Sicherheitsforscher haben eine zweite Schwachstelle in der Java-Bibliothek Apache Log4j entdeckt, die aufgrund der als Log4Shell genannten Anfälligkeit CVE-2021-44228 seit Tagen für Schlagzeilen sorgt. Die neue Lücke mit der Kennung CVE-2021-45046 betrifft die Version Log4j 2.15.0, mit der die ursprüngliche Lücke geschlossen wurde – aber offenbar nur unvollständig.

Den Forschern zufolge lässt sich der Patch in “bestimmten Nicht-Standardkonfigurationen” umgehen. “Dies könnte es Angreifern ermöglichen, bösartige Eingabedaten unter Verwendung eines JNDI-Lookup-Musters zu erstellen, was zu einem Denial-of-Service-Angriff (DOS) führt”, heißt es in der neuen Sicherheitswarnung.

Allerdings hat das Apache-Projekt mit Log4j 2.16.0 bereits eine neue Version der Bibliothek veröffentlicht, die auch dieses Problem beseitigen soll. Das Update entfernt den Versionshinweisen zufolge den Support für Message Lookup Patterns und deaktiviert ab Werk die JNDI-Funktion. Außerdem wird darauf hingewiesen, dass in älteren Versionen der Bibliothek die JndiLookup-Klasse aus dem Klassenverzeichnis entfernt werden kann, um Angriffe auf die neue Schwachstelle abzuwehren.

Die US-Cybersicherheitsbehörde CISA hat indes verfügt, dass alle zivilen Bundesbehörden in den USA bis spätestens 24. Dezember die Log4Shell-Anfälligkeiten patchen müssen. Die Schwachstelle wurde zudem zur Liste der bekannten und ausgenutzten Sicherheitslücken hinzugefügt.

Schon am Wochenende hatte die CISA vor der Sicherheitslücke gewarnt und darauf hingewiesen, dass immer mehr Cyberkriminelle das Loch in Log4j ins Visier nehmen. Auf ihrer Website bietet die Behörde zudem ausführliche Hintergrundinformationen zu der Schwachstelle inklusive technischer Details.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die Redaktionen von Silicon.de und ZDNet.de. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Umfrage sieht KMU in der digitalen Warteschleife

Obwohl 84 Prozent der Befragten Digitalisierung als entscheidenden Erfolgsfaktor sehen, hat gerade einmal die Hälfte…

15 Minuten ago

Wie KI den Jobeinstieg verändert

Aus Sicht vieler Führungskräfte sind junge Talente oft unzureichend auf ihre Jobprofile vorbereitet, da sie…

3 Tagen ago

Deutsche DefTechs: Nur jedes dritte würde erneut hier gründen

Umfrage: Bürokratisches Beschaffungswesen, strikte Regulierung und fehlendes Risikokapital bremsen digitale Verteidigungs-Innovationen.

3 Tagen ago

Pilotprojekt: Digitalisierung der IT-Infrastruktur im deutschen Stromnetz

Initiative von Cisco und Amperion ermöglicht schnellere Datenübertragungsgeschwindigkeiten mithilfe der Routed Optical Networking (RON)-Technologie.

3 Tagen ago

Manufacturing-X: Warum diese Initiative für Europa von Bedeutung ist

Manufacturing-X als Antwort auf internationale Zollkonflikte, globale Lieferkettenprobleme und Abhängigkeit von meist US-amerikanischen Tech-Konzernen.

3 Tagen ago

Wie verbreitet ist Secure-by-Design in Deutschland?

Laut Studie ist jeder dritte Security-Experte davon überzeugt, dass Cyber-Immunität die Häufigkeit von Angriffen reduzieren…

4 Tagen ago