Erstes Update f�r Log4Shell-L�cke nicht vollst�ndig

15. Dez. 2021, 19:14 |

0 Kommentare

Das Log4J-Team musste das Update für die Sicherheitslücke Log4Shell nachbessern. Die eigentliche Ursache des Fehlers steht nicht mehr bereit.

Die Entwickler des Logging-Werkzeugs Log4J haben mit den Versionen 2.16 und 2.12.2 erneut sicherheitskritische Notfallupdates veröffentlicht. Geschlossen wird damit nun die Sicherheitslücke CVE-2021-45046, bei der es sich offenbar um eine Erweiterung der auch als Log4Shell bezeichneten Sicherheitslücke (CVE-2021-44228) handelt, die Ende der vergangenen Woche bekanntgeworden ist. Offenbar waren die ersten Fehlerbehebungen hierfür nicht vollständig.

In der Sicherheitsmeldung des Projekts heißt es dazu:

Es wurde festgestellt, dass der Fix (...) in bestimmten nicht standardmäßigen Konfigurationen unvollständig war

Und weiter heißt es mit Bezug auf die konkreten Voraussetzungen:

Dies könnte Angreifern (...) ermöglichen, bösartige Eingabedaten mithilfe eines JNDI-Lookup-Musters zu erstellen, was zu einem Denial-of-Service-Angriff (DOS) führt

Betroffen davon seien wiederum sämtliche bisher verfügbaren Versionen von Log4J 2, also 2.0-beta9 bis 2.12.1, sowie die Versionen 2.13 bis 2.15. Darüber hinaus warnt das Team, dass die bisher offiziell empfohlene Vorkehrung, die Systemeigenschaft Log4j2.noFormatMsgLookup auf true zu setzen, das Ausnutzen der spezifischen neuen Lücke nicht verhindert.

Mehr dazu findest Du auf golem.de

China bestraft den Entdecker der Log4shell-Sicherheitsl�cke
Ein Sicherheitsexperte hat die Sicherheitsl�cke gemeldet, aber nicht an das Ministerium. Daf�r muss der Konzern nun b��en.

Log4shell: Die gr�sste Internet-Sicherheitsl�cke wird immer gef�hrlicher
Seit mehr als einer Woche h�lt eine riesige Schwachstelle im Internet Sicherheitsexpertinnen und -experten in Atem. Nun will ein Cybersecurity-Forscher einen Wurm gefunden haben, der Log4shell ausnutzt.

Experten f�rchten verheerende Angriffswelle wegen Sicherheitsl�cke in Logging-Software Log4j
Die Ausnutzung der Log4Shell-Schwachstellen birgt gro�e Ransomware-Gefahr. Derweil hat eine Diskussion rund um mehr Geld f�r Open Source und eine "Bill of Materials" f�r Software begonnen

Log4j: NASA bestreitet, dass Programm im Mars-Helikopter zum Einsatz kommt
Die Probleme, mit denen Ingenuity zuletzt konfrontiert war, haben offenbar andere Gr�nde.

Erstes Update f�r Log4Shell-L�cke nicht vollst�ndig
Das Log4J-Team musste das Update f�r die Sicherheitsl�cke Log4Shell nachbessern. Die eigentliche Ursache des Fehlers steht nicht mehr bereit.

Log4Shell: 100 neue Hacks pro Minute � Internetl�cke wird aktiv ausgenutzt
Die gr�sste Schwachstelle im Internet zieht eine Vielzahl an Hackerinnen und Hacker an. Laut Experten m�ssen sich Unternehmen jetzt vorsehen.

Log4Shell: Umbenannte iPhones k�nnen Apple-Server attackieren
Auch ein neu benanntes Tesla-Auto kann verwendet werden, um die Firmenserver zu infiltrieren.

Warum ist die Sicherheitsl�cke Log4Shell so gef�hrlich?
Die Sicherheitsl�cke betrifft eine Unzahl an Rechnern. Sie zu stopfen ist leicht, sie in Ger�ten �berall aufzusp�ren aber nicht.

Sicherheitsl�cke bedroht weite Teile des Internets
Eine Sicherheitsl�cke ist aufgetaucht, die eine Vielzahl an Anwendungen betreffen k�nnte. Es gibt aber Wege sich zu sch�tzen.

Autor schreiben

Kurze URL:

Currently 3.00/5
1
2
3
4
5

Bewertung: 3.0/5 (6 Stimmen)

Das k�nnte Dich auch interessieren:

Bentley stellt erstes E-Auto vor: Es ist ein SUV
Der Autobauer hat angek�ndigt, wann sein erster "urbaner Luxus-SUV" kommen soll.

Ubisoft startet erstes NFT-Game mit Figuren um bis zu 64.000 Dollar
Ubisoft will Spiel und Investment kombinieren. Der Verdacht liegt nahe, dass sich die Rechnung am Ende nur f�r das Unternehmen auszahlt

�hnliche News:

Erstes Smartphone f�rs Kind: Das gilt es zu beachten
Apples erstes faltbare iPhone kommt wohl 2026
CCC: BMW erh�lt erstes Zertifikat f�r digitalen Schl�ssel
Nordkoreas erstes eigenes E-Auto hat einen Haken
Erstes Cybercrime-Trainingscenter der Polizei in Linz gestartet
Bill Gates Start-up Terrapower baut erstes Atomkraftwerk
Erstes Ger�t mit 6G schafft zwanzigfache Datenrate von 5G
UK: Erstes Land der Welt verbietet schwache Standardpassw�rter
Smart zeigt mit dem Concept #5 erstes 800-Volt-Modell
Polestar hat sein erstes eigenes Smartphone enth�llt

Weitere News:

Pixel-Smartphones erkennen Schadsoftware nun in Echtzeit
EU-Produkthaftungsrichtlinie: Anbieter haften f�r Softwarefehler
Gema verklagt OpenAI wegen unlizenzierter Songtexte
Micron stellt 60-TByte-PCI-Express-5.0-SSD vor
Copy-Paste-Fehler kostet Krypto-Trader Millionen
Kritische Kerberos-L�cke gef�hrdet Windows-Server-Systeme
CEO von The Line tritt zur�ck
Blizzard hat Warcraft Remastered ver�ffentlicht
DeepL Voice erm�glicht jetzt Echtzeit-Sprach�bersetzung
Amazon kopiert Temu

Einen Kommentar schreiben

Kommentare

(0)

Bitte bleibe sachlich und fair in deinen �u�erungen. Sollte dein Kommentar nicht sofort erscheinen, ist er in der Warteschlange gelandet und wird meist zeitnah freigeschaltet.

Kommentare:

Leider hast du das Java-Plugin deaktiviert...
Die Kommentarfunktion brauch das Java Plugin aber...

Du kannst aber gerne �ber das Forum Newskommentare schreiben...

Du hast bereits f�r diesen Kommentar abgestimmt...

;-)

Top