Log4J-Schwachstelle

Am 10. Dezember 2021 wurde ein Fehler in Log4J, einem weit verbreiteten Protokollierungsmechanismus, der in vielen Java-Anwendungen vorhanden ist, öffentlich gemacht. Sie können detaillierte Informationen zu CVE-2021-44228 hier finden. Dies ist ein schnelles Update, um Sie darüber zu informieren, wie wir die Probleme in unseren Backend-Anwendungen behoben haben, die größtenteils mit Java Enterprise entwickelt wurden.

1. Wir haben die Spring Boot-Anwendungen auf die neueste Version von Log4J aktualisiert: org.apache.logging.log4j:log4j-bom:2.15.0
2. Wir haben die Spring Boot-Anwendungen so konfiguriert, dass sie die JNDI-Anfragen ignorieren: spring: jndi: ignore: true

1. Jeder VM läuft jetzt mit der JVM-Option - Dlog4j2.formatMsgNoLookups=true, um mögliche Informationslecks zu verhindern.
2. Unsere Backend-Services sind nicht öffentlich zugänglich und arbeiten hinter einer Firewall/Load-Balancer-Konfiguration. Wir haben unsere Protokolle und Sicherheitssysteme überprüft, um nach JNDI/LDAP-Anfragen zu suchen, konnten jedoch keine finden. Daher gehen wir davon aus, dass unsere Systeme nicht auf diese Schwachstellen gescannt wurden.

Weitere Informationen zur Log4J-Schwachstelle CVE-2021-44228 finden Sie unter folgenden Links:

• https://www.crowdstrike.com/blog/log4j2-vulnerability-analysis-and-mitigation-recommendations/
• https://spring.io/blog/2021/12/10/log4j2-vulnerability-and-spring-boot
• https://blog.cloudflare.com/aktuelle-cve-2021-44228-payloads-im-echten-einsatz-erfasst/
• https://github.com/YfryTchsGD/Log4jAttackSurface