15.12.21 Neue Probleme - Log4j-Patch genügt nicht

Die Apache-Entwickler haben in Version 2.16.0 von Log4j eine weitere Sicherheitslücke geschlossen, die nach dem ersten Versuch der Fehlerbehebung der Log4Shell-Schwachstelle in der 2.15.0er-Fassung offen stand. Der Patch war unvollständig, sodass bei bestimmten Logging-Optionen Angreifer die Software durch eine Denial-of-Service-Lücke hätten lahmlegen können.

Administratoren und Sicherheitsverantwortliche sollten verwundbare Log4j-Bibliotheken dringend aufspüren und aktualisieren. Immer mehr IT-Sicherheitsunternehmen vermelden umfangreiche Scans auf die Schwachstelle sowie das aktive Ausnutzen durch Cybergangs.

Wer bereits ein Update auf Log4j 2.15.0 durchgeführt hat, sollte vor der sich ankündigenden Welle von Angriffen geschützt sein.

Immerhin kann über die neue Lücke kein Code mehr eingeschleust und ausgeführt werden. Trotzdem sollte man die Aktualisierung auf Log4j 2.16.0 nicht auf die lange Bank schieben.