Am 09. Dezember 2021 enthüllten Sicherheitsforscher eine kritische, nicht authentifizierte Sicherheitslücke für Remote Code Execution (RCE) in Log4j2, einer beliebten und weit verbreiteten Protokollierungsbibliothek für Java-Anwendungen. Wenn die Schwachstelle ausgenutzt wird, führt sie zur Remote-Code-Ausführung auf dem verwundbaren Server mit Rechten auf Systemebene. Die Schwachstelle (CVE-2021-44228) wird mit einem CVSS Score von 10.0 bewertet und betrifft alle Log4j2 Versionen in unterschiedlichem Maße, wobei einige Versionen (zwischen 2.10 und 2.14.1) die Option haben, die anfällige Funktionalität zu deaktiveren, welche bei der aktuellsten Version 2.15.0 standardmäßig deaktiviert ist.

Jeder, der eine Java-Anwendung verwaltet, die Log4j2 verwendet, sollte nach Möglichkeit sofort auf die aktuellste Version 2.16.0 aktualisieren und/oder Weiterlesen »