Cyber Security Informationen
CVE-2021-44228
Log4j ist eine beliebte Protokollierungsbibliothek für Java-Anwendungen. Sie dient der performanten Aggregation von Protokolldaten einer Anwendung.
Das Blog eines Dienstleisters für IT-Sicherheit [LUN2021] berichtet über die Schwachstelle CVE-2021-44228 [MIT2021] in log4j in den Versionen 2.0 bis 2.14.1, die es Angreifern gegebenenfalls ermöglicht, auf dem Zielsystem eigenen Programmcode auszuführen und so den Server zu kompromittieren. Diese Gefahr besteht dann, wenn log4j verwendet wird, um eine vom Angreifer kontrollierte Zeichenkette wie beispielsweise den HTTP User Agent zu protokollieren.
Ein Proof-of-Concept (PoC) der Schwachstelle wurde auf Github veröffentlicht [GIT2021a] und auf Twitter geteilt [TWI2021]. Neben dem PoC existieren auch Beispiele für Skripte, die Systeme stichprobenartig auf Verwundbarkeit hin untersuchen [GIT2021b]. Skripte solcher Art können zwar Administratoren keine Sicherheit über die Verwundbarkeit geben, aber erlauben Angreifern kurzfristig rudimentäre Scans nach verwundbaren Systemen.
Diese kritische Schwachstelle hat demnach möglicherweise Auswirkungen auf alle aus dem Internet erreichbaren Java-Anwendungen, die mit Hilfe von log4j Teile der Nutzeranfragen protokollieren.
Herstellerübersicht
Hersteller | Datum | Status | Link zu Informationen des Herstellers |
4RF | 15.12.2021 | Vulnerability in Apache Log4j: Systeme sind laut Hersteller nicht betroffen | |
Allegro Packets | 13.12.2021 | Vulnerability in Apache Log4j: Systeme sind laut Hersteller nicht betroffen | |
ARP-GUARD | 13.12.2021 | Vulnerability in Apache Log4j: Systeme sind laut Hersteller nicht betroffen | |
ASCOM | 14.12.2021 | Vulnerability in Apache Log4j: Systeme sind laut Hersteller nicht betroffen | |
Aseko | 14.12.2021 | Vulnerability in Apache Log4j: Systeme sind laut Hersteller nicht betroffen | |
AudioCodes | 14.12.2021 | Vulnerability in Apache Log4j: Empfehlung: Zeitnahes Update auf aktuellste Version 9.2 / Migrations script | |
Aurenz | 14.12.2021 | Vulnerability in Apache Log4j: Systeme sind laut Hersteller nicht betroffen | |
Cisco | 13.12.2021 | Vulnerability in Apache Log4j: Empfehlung: Zeitnahes Update der betroffenen Systeme, wo möglich und sobald verfügbar. Sollte dies nicht möglich sein, empfehlen wir das Blockieren oder mindestens das Monitoren der betreffenden Kommunikation durch bspw. Next Generation Firewalls | Vulnerability in Apache Log4j Library Affecting Cisco Products: December 2021 |
Citrix | 17.12.2021 | Citrix Endpoint Management (Citrix XenMobile Server) betroffen. Citrix Linux Virtual Delivery Agent betroffen. | https://support.citrix.com/article/CTX335705 |
CRISAM | 13.12.2021 | Vulnerability in Apache Log4j: Empfehlung: CRISAM selbst ist nicht betroffen, die darunterliegenden Plattformen sollten separat analysiert werden | |
Enghouse | 15.12.2021 | Vulnerability in Apache Log4j: Systeme sind laut Hersteller nicht betroffen | |
Fortinet | 13.12.2021 | Vulnerability in Apache Log4j: Empfehlung: Zeitnahes Update der betroffenen Systeme, wo möglich. Sollte dies nicht möglich sein, empfehlen wir das Blockieren oder mindestens das Monitoren der betreffenden Kommunikation durch die von Fortinet bereitgestellten IPS Signaturen für die Produkte FortiGate, FortiProxy, FortiADC oder Fortiweb. | https://www.fortiguard.com/psirt/FG-IR-21-245
|
FlexDSL | 14.12.2021 | Vulnerability in Apache Log4j: Systeme sind laut Hersteller nicht betroffen | |
Garderos | 13.12.2021 | Vulnerability in Apache Log4j: Empfehlung: Update gemäß Herstellerinformation. | |
IGEL | 17.12.2021 | IGEL Universal Management Suite (UMS) laut Hersteller betroffen. A fixed version of UMS is in preparation. This document will be updated when it is available. Empfehlung: Hersteller-Link regelmäßig prüfen. | https://kb.igel.com/securitysafety/en/isn-2021-11-ums-log4j-vulnerability-54086712.html |
Infosim® | 14.12.2021 | Vulnerability in Apache Log4j: Applikation StableNet® ist laut Hersteller nicht betroffen. | |
Infinera | 14.12.2021 | Vulnerability in Apache Log4j: Empfehlung: Auf neue Updates für die zentralen Managementsysteme achten | |
Innovaphone | 14.12.2021 | Vulnerability in Apache Log4j: Systeme sind laut Hersteller nicht betroffen. | |
Jtel | 14.12.2021 | Vulnerability in Apache Log4j: Empfehlung: Update auf 2.15.0 wenn eine der Applikationen verwendet wird | |
macmon | 14.12.2021 | Vulnerability in Apache Log4j: Empfehlung: Update auf 5.28.2.2 | Information über Neues Release auf https://portal.macmon.eu/ |
Mulogic | 14.12.2021 | Vulnerability in Apache Log4j: Systeme sind laut Hersteller nicht betroffen. | |
NVIDIA | 17.12.2021 | NVIDIA LIC Server laut Hersteller betroffen Empfehlung: Mitigation implementieren (Link im Artikel zu finden) | https://nvidia.custhelp.com/app/answers/detail/a_id/5294 |
RAD | 14.12.2021 | Vulnerability in Apache Log4j: Systeme sind laut Hersteller nicht betroffen. | |
Sagemcom (Dr. Neuhaus) | 14.12.2021 | Vulnerability in Apache Log4j: Systeme sind laut Hersteller nicht betroffen. | |
Serinus | 14.12.2021 | Vulnerability in Apache Log4j: Systeme sind laut Hersteller nicht betroffen. | |
Sip:Wise | 15.12.2021 | Vulnerability in Apache Log4j: Systeme sind laut Hersteller betroffen | |
Vmware | 13.12.2021 | Vulnerability in Apache Log4j: Empfehlung: Implementation von Updates, oder Workaround gemäß Herstellerempfehlung | https://www.vmware.com/security/advisories/VMSA-2021-0028.html |