Warnstufe Rot für Java-Software
Am 9. Dezember machten Sicherheitsforscher auf eine Sicherheitslücke in der Programmroutine Log4j aufmerksam.
Log4j ist ein Framework zum Loggen von Anwendungsmeldungen in Java. Die Programmroutine hat sich über die Jahre als Standard-Logging-Methode bei Softwareherstellern etabliert.
Konkret wird sie dazu verwendet, Protokolldaten einer Anwendung zu erzeugen.
Am 9. Dezember machten Sicherheitsforscher auf eine Sicherheitslücke in dieser Programmroutine aufmerksam. Die inzwischen als Schwachstelle CVE-2021-4428 betitelte Lücke wird vom BSI als Warnstufe Rot eingestuft.
Weitere Informationen auf bsi.bund.de
Die Sicherheitslücke ermöglicht es Angreifern gegebenenfalls Programmcode auf den Zielsystemen auszuführen.
Ausmaß der Bedrohungslage
Laut BSI-Pressemeldung vom 11.12.2021 ist das genaue Ausmaß der Bedrohungslage nicht abschließend feststellbar. „Zwar gibt es für die betroffene Java-Bibliothek Log4j ein Sicherheits-Update, allerdings müssen alle Produkte, die Log4j verwenden, ebenfalls angepasst werden“, so der BSI.
Betroffene Systeme
Die Liste der potenziell gefährdeten Systeme ist ausgesprochen lang. Sie reicht von Serversystemen jeder Art, über Cloudsysteme bis hin zu Infrastrukturkomponenten wie Switchen und Router. Die hohe Anzahl der möglichen Systeme macht die aktuelle Gefahrenlage so unübersichtlich.
Unter github.com finden Sie eine stets aktualisierte und umfangreiche Liste über den Update-Status zahlreicher Hersteller.
Handlungsempfehlung
Sollten für Ihre Systeme noch keine Updates vorliegen bzw. der Updatestatus noch unklar sein, schalten Sie die betroffenen Systeme ab oder deaktivieren Sie den Zugriff aus dem Internet.
Fragen
Sollten Sie noch weitere Fragen haben, stehen wir Ihnen gern zur Verfügung. Auf unserer Kontaktseite finden Sie unsere Service-Rufnummern und E-Mail Adressen.
Log4j ist ein Framework zum Loggen von Anwendungsmeldungen in Java. Die Programmroutine hat sich über die Jahre als Standard-Logging-Methode bei Softwareherstellern etabliert.
Konkret wird sie dazu verwendet, Protokolldaten einer Anwendung zu erzeugen.
Am 9. Dezember machten Sicherheitsforscher auf eine Sicherheitslücke in dieser Programmroutine aufmerksam. Die inzwischen als Schwachstelle CVE-2021-4428 betitelte Lücke wird vom BSI als Warnstufe Rot eingestuft.
Weitere Informationen auf bsi.bund.de
Die Sicherheitslücke ermöglicht es Angreifern gegebenenfalls Programmcode auf den Zielsystemen auszuführen.
Ausmaß der Bedrohungslage
Laut BSI-Pressemeldung vom 11.12.2021 ist das genaue Ausmaß der Bedrohungslage nicht abschließend feststellbar. „Zwar gibt es für die betroffene Java-Bibliothek Log4j ein Sicherheits-Update, allerdings müssen alle Produkte, die Log4j verwenden, ebenfalls angepasst werden“, so der BSI.
Betroffene Systeme
Die Liste der potenziell gefährdeten Systeme ist ausgesprochen lang. Sie reicht von Serversystemen jeder Art, über Cloudsysteme bis hin zu Infrastrukturkomponenten wie Switchen und Router. Die hohe Anzahl der möglichen Systeme macht die aktuelle Gefahrenlage so unübersichtlich.
Unter github.com finden Sie eine stets aktualisierte und umfangreiche Liste über den Update-Status zahlreicher Hersteller.
Handlungsempfehlung
Sollten für Ihre Systeme noch keine Updates vorliegen bzw. der Updatestatus noch unklar sein, schalten Sie die betroffenen Systeme ab oder deaktivieren Sie den Zugriff aus dem Internet.
Fragen
Sollten Sie noch weitere Fragen haben, stehen wir Ihnen gern zur Verfügung. Auf unserer Kontaktseite finden Sie unsere Service-Rufnummern und E-Mail Adressen.