Die sogenannte „Log4Shell“ Schwachstelle mit der CVE-2021-44228 [MIT2021] in der weit verbreiteten Log4j
Protokollierungsbibliothek für Java-Anwendungen wurde am 10.12.2021 auf dem Blog eines IT-
Dienstleisters für IT-Sicherheit veröffentlicht [LUN2021]. Der Schwachstelle wurde nach Veröffentlichung
des Blog-Posts ein CVSS-Wert von 10.0 zugewiesen [NVD2021].
Die Protokollierungsbibliothek dient der performanten Aggregation von Protokolldaten einer Anwendung.
Die veröffentlichte Schwachstelle ermöglicht es Angreifenden ab der Version 2.0-beta9 auf dem Zielsystem
eigenen Programmcode auszuführen, was zur Kompromittierung des Zielsystems führen kann. Dabei kann
die Schwachstelle, durch die Verwendung einer speziellen Zeichenkette, trivial ausgenutzt werden. Die
Schwachstelle kann nicht nur zum Nachladen von weiterer Schadsoftware genutzt werden, sondern auch
für die Exfiltration von vertraulichen Daten (z. B. Umgebungsvariabeln). Hierfür ist kein Nachladen von
externer Schadsoftware notwendig, sodass diese Ausnutzung mit einer (einfachen) Anfrage durchgeführt
werden kann.