Kritische Sicherheitslücke in log4j
Die Sicherheitlücke
Im Dezember 2021 wurde die kritische Sicherheitslücke Log4Shell im weithin eingesetzten Java-Logging-Framework log4j öffentlich bekannt. Betroffen war die Version 2.x und bei Verwendung einer speziellen Konfiguration ebenfalls die ältere Version 1.x. (CVE-2021-44228).
Status von log4j
Log4j in der Version 1.x hat 2015 den End-of-Life Status erreicht und wird nicht mehr weiterentwickelt. Zu dieser Version sind einige Sicherheitslücken bekannt, die mangels Support nicht beseitigt wurden. Dennoch wird Log4j 1.x immer noch sehr häufig in produktiven Anwendungen verwendet.
Ein direkter Ersatz der Version 1.2 durch die inzwischen gepatchte Version 2.x ist in vielen Applikationen vielfach nur mit größerem Anpassungsaufwand und umfangreichen Tests möglich.
Kurzfristige Lösung
Um das Problem kurzfristig zu beseitigen, hat Ceki Gülcü, der Urheber von log4j, das Projekt reload4j aus der Taufe gehoben, das auf der Version 1.2 von log4j basiert. Er hat sich zur Aufgabe gemacht, die vorhandenen Schwachstellen von log4j 1.2 in reload4j zu beseitigen und ein drop-in Replacement für log4j 1.2 bereitzustellen.
Damit kann reload4j ohne Anpassungsaufwand in vorhandenen Projekten eingesetzt werden.
Auch die bei Java-Entwicklern beliebte Logging-API SLF4J setzt seit dem Release 1.7.35 auf reload4j als Ersatz für log4j Version 1.2
Was wir tun
Auch wir von NextStride nehmen die Probleme rund um die bekannten Schwachstellen sehr ernst und liefern die aktuellen Versionen unserer Softwareprodukte mit reload4j an unsere Kunden aus.
Diese Lösung wurde von den Sicherheitsverantwortlichen unserer Kunden bestätigt.
Weitere Informationen finden Sie auf der Webseite des Projektes.