Apache log4j bis 2.14.1 JNDI LDAP Server Lookup Log4Shell/LogJam erweiterte Rechte

CVSS Meta Temp ScoreAktueller Exploitpreis (≈)CTI Interest Score
8.3$0-$5k0.11

Eine sehr kritische Schwachstelle wurde in Apache log4j bis 2.14.1 gefunden. Davon betroffen ist unbekannter Code der Komponente JNDI LDAP Server Lookup Handler. Dank Manipulation mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-502. Die exakten Auswirkungen einer erfolgreichen Attacke sind bis dato nicht bekannt.

Die Schwachstelle wurde am 10.12.2021 herausgegeben. Bereitgestellt wird das Advisory unter lunasec.io. Die Verwundbarkeit wird mit der eindeutigen Identifikation CVE-2021-44228 gehandelt. Es sind zwar keine technische Details, jedoch ein öffentlicher Exploit zur Schwachstelle bekannt. Ein Exploit zur Schwachstelle wird momentan etwa USD $0-$5k kosten (Preisberechnung vom 15.12.2021).

Er wird als proof-of-concept gehandelt. Der Download des Exploits kann von github.com geschehen. Der Preis als 0-Day war auf dem Schwarzmarkt etwa $25k-$100k.

Ein Aktualisieren auf die Version 2.15.0 vermag dieses Problem zu lösen. Eine neue Version kann von logging.apache.org bezogen werden. Die Schwachstelle lässt sich auch durch das Einspielen eines Patches lösen. Dieser kann von github.com bezogen werden. Mit der Einstellung log4j2.formatMsgNoLookups = true kann das Problem zusätzlich adressiert werden. Als bestmögliche Massnahme wird das Upgrade auf eine neue Version empfohlen.

Unter access.redhat.com werden zusätzliche Informationen bereitgestellt.

Produktinfo

Hersteller

Name

CPE 2.3info

CPE 2.2info

CVSSv3info

VulDB Meta Base Score: 8.6
VulDB Meta Temp Score: 8.3

VulDB Base Score: 7.3
VulDB Temp Score: 6.6
VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 10.0
NVD Vector: 🔒

CVSSv2info

AVACAuCIA
🔍🔍🔍🔍🔍🔍
🔍🔍🔍🔍🔍🔍
🔍🔍🔍🔍🔍🔍
VektorKomplexitätAuthentisierungVertraulichkeitIntegritätVerfügbarkeit
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten

VulDB Base Score: 🔒
VulDB Temp Score: 🔒
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 🔒

Exploitinginfo

Klasse: Erweiterte Rechte
CWE: CWE-502 / CWE-20
ATT&CK: Unbekannt

Lokal: Nein
Remote: Ja

Verfügbarkeit: 🔒
Zugang: öffentlich
Status: Proof-of-Concept
Download: 🔒

EPSS Score: 🔒
EPSS Percentile: 🔒

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔒

0-Dayfreischaltenfreischaltenfreischaltenfreischalten
Heutefreischaltenfreischaltenfreischaltenfreischalten

Threat Intelligenceinfo

Interesse: 🔍
Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍

Gegenmassnahmeninfo

Empfehlung: Upgrade
Status: 🔍

0-Day Time: 🔒

Upgrade: log4j 2.15.0
Patch: github.com
Config: log4j2.formatMsgNoLookups = true

Timelineinfo

26.11.2021 CVE zugewiesen
10.12.2021 +14 Tage Advisory veröffentlicht
10.12.2021 +0 Tage VulDB Eintrag erstellt
15.12.2021 +5 Tage VulDB letzte Aktualisierung

Quelleninfo

Hersteller: apache.org

Advisory: dsa-5020
Status: Bestätigt
Bestätigung: 🔒

CVE: CVE-2021-44228 (🔒)
scip Labs: https://www.scip.ch/?labs.20161013
Diverses: 🔒

Eintraginfo

Erstellt: 10.12.2021 09:19
Aktualisierung: 15.12.2021 14:38
Anpassungen: 10.12.2021 09:19 (39), 10.12.2021 11:39 (10), 10.12.2021 15:26 (1), 10.12.2021 16:45 (2), 13.12.2021 11:20 (4), 15.12.2021 14:31 (4), 15.12.2021 14:35 (19), 15.12.2021 14:38 (1)
Komplett: 🔍
Einsender: CSieberg

Diskussion

rochevm (+0)
12 months ago
Can you confirm this statement? "There is a new log4j release 2.15.0-rc2, as the previous -rc1 can be bypassed."

Do you know our Splunk app?

Download it now for free!