Blog_

Schwachstelle in Log4j

Veröffentlicht am: 8 Feb, 2022
Veröffentlicht von: Rainer Sprünken
Apache Log4J Logo

Kritische Sicherheitslücke in log4j

Die Sicherheitlücke

Im Dezember 2021 wurde die kritische Sicherheitslücke Log4Shell im weithin eingesetzten Java-Logging-Framework log4j öffentlich bekannt. Betroffen war die Version 2.x und bei Verwendung einer speziellen Konfiguration ebenfalls die ältere Version 1.x. (CVE-2021-44228).

Status von log4j

Log4j in der Version 1.x hat 2015 den End-of-Life Status erreicht und wird nicht mehr weiterentwickelt. Zu dieser Version sind einige Sicherheitslücken bekannt, die mangels Support nicht beseitigt wurden. Dennoch wird Log4j 1.x immer noch sehr häufig in produktiven Anwendungen verwendet.

Ein direkter Ersatz der Version 1.2 durch die inzwischen gepatchte Version 2.x ist in vielen Applikationen vielfach nur mit größerem Anpassungsaufwand und umfangreichen Tests möglich.

Kurzfristige Lösung

Um das Problem kurzfristig zu beseitigen, hat Ceki Gülcü, der Urheber von log4j, das Projekt reload4j aus der Taufe gehoben, das auf der Version 1.2 von log4j basiert. Er hat sich zur Aufgabe gemacht, die vorhandenen Schwachstellen von log4j 1.2 in reload4j zu beseitigen und ein drop-in Replacement für log4j 1.2 bereitzustellen.
Damit kann reload4j ohne Anpassungsaufwand in vorhandenen Projekten eingesetzt werden.
Auch die bei Java-Entwicklern beliebte Logging-API SLF4J setzt seit dem Release 1.7.35 auf reload4j als Ersatz für log4j Version 1.2

Was wir tun

Auch wir von NextStride nehmen die Probleme rund um die bekannten Schwachstellen sehr ernst und liefern die aktuellen Versionen unserer Softwareprodukte mit reload4j an unsere Kunden aus.
Diese Lösung wurde von den Sicherheitsverantwortlichen unserer Kunden bestätigt.

Weitere Informationen finden Sie auf der Webseite des Projektes.

NextStride AG - Software made in Switzerland - Rainer Sprünken
Rainer Sprünken

Seit der Gründung der Next Stride AG im Jahre 2008 dabei. Entwicklung JANE-Reporting Plattform, Tools zur Visualisierung relationaler Datenbestände und diverser kundeninidividueller Applikationen

Autor: Rainer Sprünken

Seit der Gründung der Next Stride AG im Jahre 2008 dabei. Entwicklung JANE-Reporting Plattform, Tools zur Visualisierung relationaler Datenbestände und diverser kundeninidividueller Applikationen