Kritische Schwachstelle in log4j (CVE-2021-44228)
log4j ist ein Framework, welches dem Loggen von Meldungen in Java-basierten Anwendungen dient. Das Framework hat sich zu einem Quasi Standard entwickelt und findet innerhalb des Produktportfolios vieler bedeutender IT-Unternehmen Anwendung.
Seit dem 9. Dezember 2021 machten Sicherheitsmitarbeiter/-innen auf eine Sicherheitslücke (als CVE-2021-4428 betitelt) in diesem Framework aufmerksam. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat mit diesem Beitrag diese zwischenzeitlich mit Warnstufe Rot klassifiziert. Hinsichtlich ihrer Auswirkung erlaubt die Sicherheitslücke Angreifern im schlimmsten Fall die Ausführung von Programmcode auf Zielsystemen.
Bedrohungslage
Gemäß einer BSI-Pressemeldung vom 11.12.2021 kann das Ausmaß der Bedrohungslage nicht abschließend beschrieben werden. Das BSI schreibt: „Zwar gibt es für die betroffene Java-Bibliothek Log4j ein Sicherheits-Update, allerdings müssen alle Produkte, die Log4j verwenden, ebenfalls angepasst werden“.
Betroffene Systeme
Die Liste der (bis jetzt bekannten) potenziell gefährdeten Systeme ist sehr lang. Betroffen sind gleichermaßen reine Softwarelösungen, wie auch hardwaregebundene Lösungen und Cloudservices. Dieser Umstand erschwert die Bewertung der aktuellen Gefahrenlage. Auf github.com findet sich unter diesem Link eine umfangreiche Liste betroffener Systeme und den Update-Status der Hersteller. Diese Liste wird fortlaufend aktualisiert.
Unsere Kunden/ Unsere Produkte
Unsere Softwarelösungen sind nach in- und externen Überprüfungen nicht von der gemeldeten Bedrohung betroffen.
Lösungen im Rahmen unserer Rechenzentrumsdienste, bzw. von Kunden, deren Infrastruktur wir warten, werden von uns hinsichtlich Betroffenheit überprüft.
Betroffene Systeme werden von uns bei Verfügbarkeit eines im Zusammenhang stehenden Updates aktualisiert. Betroffene Systeme, bei denen ein Update des Herstellers noch aussteht, werden wir mit den entsprechenden Kunden in Kontakt treten, um eine Absprache zur Behandlung des Konfliktes festzulegen.
Handlungsempfehlung
Wir empfehlen unseren Kunden, ihre eingesetzten IT-Infrastrukturen und verwendeten Lösungen hinsichtlich der Betroffenheit zu überprüfen. Hierzu sollte ggf. die verlinkte Systemauflistung auf github.com (siehe ‚Betroffene Systeme‘) hinzugezogen werden. Im Zweifelsfall sollte auch Kontakt zu Hard- und Softwareherstellern aufgenommen werden, da meistens nicht erkennbar ist, ob eine Softwarelösung Java-basierend ist und sich innerhalb dessen des log4j-Frameworks bedient.
Auf dieser Seite werden wir über wichtige Neuigkeiten zum Thema informieren.
Machen Sie jetzt den Nächsten Schritt in Ihre digitale Zukunft!
Entwickeln Sie Ihr Unternehmen erfolgreich zu einer agilen und lernenden Organisation. Stellen Sie Ihre Organisation zukunftsfähig auf und nehmen Sie Ihre Mitarbeiter mit.