AI & Machine Learning
Edge-Netzwerk
Infrastructure as a Service
Platform as a Service
Virtuelle und dedizierte Server
Video Streaming Platform
Security
Cloud for Mobile
Benutzerdefinierte Dienste
Nach Branche
Nach Service
Referral Program
Bug Bounty-Richtlinie
Konformität
Karriere
Internet Peering Points
Events (EN)
Infrastruktur
Am 9. Dezember 2021 wurde im Apache Log4j-Modul eine Sicherheitslücke mit der höchsten Gefahrenstufe — CVSS 10 — gefunden. Die Lücke wurde bereits Log4Shell genannt. Die Sicherheitslücke ermöglicht die externe Ausführung von beliebigem Code und versetzt Angreifer in die Lage, nahezu vollständige Kontrolle über die Server des Opfers zu erlangen.
Angesichts der weiten Verbreitung dieses Moduls sind Millionen von Java-Dienste gefährdet.
Aber wenn Sie mit unserem Anwendungsschutz verbunden sind, müssen Sie sich keine Sorgen machen. Wir haben bereits alle Maßnahmen zum Schutz unserer Kunden getroffen.
Worin liegt die Gefahr der neuen Sicherheitslücke und warum ist sie so gefährlich?
Log4Shell, oder CVE-2021-44228, ist eine Sicherheitslücke, die mit der Remote Code Execution (RCE) zusammenhängt, d.h. sie ermöglicht die Ausführung von beliebigem Code auf einem Server von außerhalb, ohne Authentifizierung.
Alle Java-Dienste und APIs die das Log4j-Log nutzen, sind gefährdet. Das Log ist sehr beliebt, so gibt es wahrscheinlich Millionen Opfer.
Das Hauptproblem dieser Sicherheitslücke ist, dass sie recht leicht auszunutzen ist — selbst ein unerfahrener Hacker kann einen Angriff erfolgreich durchführen.
Um Zugriff auf eine Ressource zu erhalten, muss ein Angreifer nur eine spezielle Anfrage senden. Das ermöglicht dem Hacker, eigenen Code in eine Anwendung oder API hochzuladen.
Wie Gcore Kunden vor der neuen Sicherheitslücke schützt
Um Ihre Webseite zu schützen, aktivieren Sie Standard-Web-Schutz (WAF). Es ist ein vorinstalliertes Sicherheitstool unseres Netzwerks. Der Standard-Web-Schutz ist für alle CDN-Tarife (einschließlich kostenloses) verfügbar.
Log4Shell-Sicherheitslücke ist schon in einem kürzlich veröffentlichten Update unserer Bibliothek mit bekannten Malware-Signaturen.
Wir leiten den gesamten Datenverkehr durch ein Filtersystem. Jede verdächtige Anfrage, einschließlich der Nutzung der Log4Shell-Sicherheitslücke, wird am Eingang blockiert.
Wir verhindern, dass Angreifer bösartigen Code ausführen, und bieten zuverlässigen Webschutz für Ihre Webseiten und Anwendungen.
Was können Sie sonst tun, um sich zu schützen?
Zunächst einmal sollten Sie Apache Log4j auf die neueste Version aktualisieren.
Wenn es aus irgendeinem Grund keine Möglichkeit zur Aktualisierung gibt, verwenden Sie diese Empfehlungen.
- In den Versionen 2.10 und höher können Sie die Systemeigenschaft
log4j2.formatMsgNoLookupsoder die UmgebungsvariableLOG4J_FORMAT_MSG_NO_LOOKUPSauftruesetzen. - In den Versionen 2.7 bis 2.14.1 können Sie die PatternLayout-Muster ändern: Geben Sie den Message Converter als
%m{nolookups}anstelle des einfachen%man. - In den Versionen 2.0-beta9 bis 2.7 besteht die einzige Lösung darin, die Klasse JndiLookup aus dem Classpath zu entfernen:
zip q -d log4j-core*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class.
Der zuverlässigste Weg zur Absicherung Ihrer Ressourcen ist jedoch die Aktivierung des Schutzes.
Wir überwachen das Auftreten neuer Schwachstellen und aktualisieren unsere Algorithmen so schnell wie möglich. So müssen Sie sich keine Sorgen um die Sicherheit Ihrer Ressourcen machen und keine Notmaßnahmen ergreifen, um sie zu schützen. Ihre Webanwendungen und APIs sind sicher.