Laut dem neuesten Update von Oracle arbeitet der zuvor kommunizierte Workaround zur Umgehung der Log4j-Sicherheitslücke NICHT zuverlässig. Es wird weiterhin mit Hochdruck an einer Lösung des Problems gearbeitet. Wir stehen im ständigen Austausch mit Oracle und werden Sie über jede Entwicklung in unseren News informieren.
Statement von Oracle:
"A new CVE-2021-45046 was released, affecting org.apache.logging.log4j:log4j-core package, versions prior to 2.16.0.
The new CVE identified:
- The fix to address CVE-2021-44228 in Apache Log4j 2.15.0 was incomplete in certain non-default configurations
- The previous workaround, involving the addition of "-Dlog4j2.formatMsgNoLookups=true" JVM parameter, does NOT mitigate this specific vulnerability."
Info: Hier erhalten Sie einen Überblick über mögliche betroffene Hersteller:
• log4shell/README.md at main · NCSC-NL/log4shell · GitHub
• https://gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592
