Log4j 2.16.0 verbessert Schutz vor Log4Shell-Lücke

Die Apache-Entwickler haben nach der vergangenen Freitag hastig veröffentlichten Version 2.15.0 zum Schließen der Log4Shell-Sicherheitslücke jetzt Log4j 2.16.0 fertig gestellt und darin die Schutzmaßnahmen verbessert. Auf der anderen Seite haben Sicherheitsforscher Proof-of-Concept-Code (PoC) zum Ausnutzen der Schwachstelle verfeinert – Angriffe funktionieren damit unabhängig von der Java-Version und bestimmten Java-Sicherheitseinstellungen. Verlässlichen Schutz bietet daher nur ein Update der Log4j-Bibliothek.

In Log4j 2.16.0 haben die Apache-Programmierer den Code entfernt, der Nachrichten in den Logs mit den fatalen URL-Einträgen zu potenziell bösartigen LDAP-Servern analysiert. Dazu deaktivieren die Entwickler das Java Naming and Directory Interface (JNDI) nun gänzlich. Nutzer könnten ihn manuell wieder einschalten, er stelle allerdings in ungeschützter Umgebung ein hohes Sicherheitsrisiko dar, warnen die Apache-Entwickler in der Log4j-Versionsankündigung.

Quelle: Log4j 2.16.0 verbessert Schutz vor Log4Shell-Lücke | heise online