Log4j2

Die Schwachstelle betrifft die Java-Protokollierungsbibliothek Log4j2 von Apache, die in unzähligen Anwendungen zum Erzeugen von Logmeldungen eingesetzt wird. Sie ist die Folge einer unvollständigen Korrektur eines früheren Fehlers: In bestimmten, vom Standard abweichenden Konfigurationen bleibt das gefährliche Verhalten bestehen. Verwendet die Protokollierung ein angepasstes Ausgabemuster mit einem Context-Lookup oder einem Thread-Context-Map-Platzhalter, kann ein Angreifer, der die in den Thread Context Map (MDC) einfließenden Daten beeinflusst, eine speziell präparierte Eingabe mit einem JNDI-Lookup-Muster einschleusen. Dadurch lässt sich Schadcode nachladen und ausführen. Je nach Umgebung reicht das von einem Informationsabfluss über die Ausführung von Code aus der Ferne bis hin zur lokalen Codeausführung. Da die Bibliothek tief in der Software-Lieferkette steckt und oft Daten aus dem Internet verarbeitet, ist die Angriffsfläche breit gestreut und schwer zu überblicken.