Log4j ist eine beliebte Protokollierungsbibliothek für Java-Anwendungen. Sie dient der performanten
Aggregation von Protokolldaten einer Anwendung.
Das Blog eines Dienstleisters für IT-Sicherheit [LUN2021] berichtet über die Schwachstelle CVE-2021-44228
[MIT2021] in log4j in den Versionen 2.0 bis 2.14.1, die es Angreifern gegebenenfalls ermöglicht, auf dem
Zielsystem eigenen Programmcode auszuführen und so den Server zu kompromittieren. Diese Gefahr
besteht, wenn log4j verwendet wird, um eine vom Angreifer kontrollierte Zeichenkette wie beispielsweise
den HTTP User Agent die Felder in einer Webanwendung zu protokollieren.
Ein Proof-of-Concept (PoC) zur Ausnutzung der Schwachstelle wurde auf Github veröffentlicht [GIT2021a]
und auf Twitter geteilt [TWI2021]. Neben dem PoC existieren auch Beispiele für Skripte, die Systeme
stichprobenartig auf Verwundbarkeit hin untersuchen [GIT2021b]. Skripte solcher Art können zwar
Administratoren keine Sicherheit über die Verwundbarkeit geben, aber erlauben Angreifern kurzfristig
rudimentäre Scans nach verwundbaren Systemen.
Quelle: BSI