Erstes Update für Log4Shell-Lücke nicht vollständig

15. Dez. 2021, 19:14 |  0 Kommentare

Das Log4J-Team musste das Update für die Sicherheitslücke Log4Shell nachbessern. Die eigentliche Ursache des Fehlers steht nicht mehr bereit.



Die Entwickler des Logging-Werkzeugs Log4J haben mit den Versionen 2.16 und 2.12.2 erneut sicherheitskritische Notfallupdates veröffentlicht. Geschlossen wird damit nun die Sicherheitslücke CVE-2021-45046, bei der es sich offenbar um eine Erweiterung der auch als Log4Shell bezeichneten Sicherheitslücke (CVE-2021-44228) handelt, die Ende der vergangenen Woche bekanntgeworden ist. Offenbar waren die ersten Fehlerbehebungen hierfür nicht vollständig.

In der Sicherheitsmeldung des Projekts heißt es dazu:

Es wurde festgestellt, dass der Fix (...) in bestimmten nicht standardmäßigen Konfigurationen unvollständig war


Und weiter heißt es mit Bezug auf die konkreten Voraussetzungen:

Dies könnte Angreifern (...) ermöglichen, bösartige Eingabedaten mithilfe eines JNDI-Lookup-Musters zu erstellen, was zu einem Denial-of-Service-Angriff (DOS) führt


Betroffen davon seien wiederum sämtliche bisher verfügbaren Versionen von Log4J 2, also 2.0-beta9 bis 2.12.1, sowie die Versionen 2.13 bis 2.15. Darüber hinaus warnt das Team, dass die bisher offiziell empfohlene Vorkehrung, die Systemeigenschaft Log4j2.noFormatMsgLookup auf true zu setzen, das Ausnutzen der spezifischen neuen Lücke nicht verhindert.

Mehr dazu findest Du auf golem.de


China bestraft den Entdecker der Log4shell-Sicherheitslücke
Ein Sicherheitsexperte hat die Sicherheitslücke gemeldet, aber nicht an das Ministerium. Dafür muss der Konzern nun büßen.
Log4shell: Die grösste Internet-Sicherheitslücke wird immer gefährlicher
Seit mehr als einer Woche hält eine riesige Schwachstelle im Internet Sicherheitsexpertinnen und -experten in Atem. Nun will ein Cybersecurity-Forscher einen Wurm gefunden haben, der Log4shell ausnutzt.
Experten fürchten verheerende Angriffswelle wegen Sicherheitslücke in Logging-Software Log4j
Die Ausnutzung der Log4Shell-Schwachstellen birgt große Ransomware-Gefahr. Derweil hat eine Diskussion rund um mehr Geld für Open Source und eine "Bill of Materials" für Software begonnen
Log4j: NASA bestreitet, dass Programm im Mars-Helikopter zum Einsatz kommt
Die Probleme, mit denen Ingenuity zuletzt konfrontiert war, haben offenbar andere Gründe.
Erstes Update für Log4Shell-Lücke nicht vollständig
Das Log4J-Team musste das Update für die Sicherheitslücke Log4Shell nachbessern. Die eigentliche Ursache des Fehlers steht nicht mehr bereit.
Log4Shell: 100 neue Hacks pro Minute – Internetlücke wird aktiv ausgenutzt
Die grösste Schwachstelle im Internet zieht eine Vielzahl an Hackerinnen und Hacker an. Laut Experten müssen sich Unternehmen jetzt vorsehen.
Log4Shell: Umbenannte iPhones können Apple-Server attackieren
Auch ein neu benanntes Tesla-Auto kann verwendet werden, um die Firmenserver zu infiltrieren.
Warum ist die Sicherheitslücke Log4Shell so gefährlich?
Die Sicherheitslücke betrifft eine Unzahl an Rechnern. Sie zu stopfen ist leicht, sie in Geräten überall aufzuspüren aber nicht.
Sicherheitslücke bedroht weite Teile des Internets
Eine Sicherheitslücke ist aufgetaucht, die eine Vielzahl an Anwendungen betreffen könnte. Es gibt aber Wege sich zu schützen.






Kurze URL:


Bewertung: 3.0/5 (6 Stimmen)


Das könnte Dich auch interessieren:


Ähnliche News:

Weitere News:

Einen Kommentar schreiben

Du willst nicht als "Gast" schreiben? Logg Dich Hier ein.

Code:

Code neuladen

Kommentare
(0)

Bitte bleibe sachlich und fair in deinen Äußerungen. Sollte dein Kommentar nicht sofort erscheinen, ist er in der Warteschlange gelandet und wird meist zeitnah freigeschaltet.




Kommentare:

Du hast bereits für diesen Kommentar abgestimmt...

;-)

Top