Warnstufe Rot: Warnung vor kritischer Sicherheitslücke in Log4j

Frisch entdeckte Sicherheitslücke in der Java-Bibliothek Log4j.

IT-Sicherheitsexperten schlagen Alarm. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) setzte am Samstag seine Warnstufe zu der kritischen Schwachstelle (CVE-2021-44228) von Orange auf Rot hoch. Angreifern ist es gegebenenfalls möglich, auf dem Zielsystem eigenen Programmcode auszuführen und so den Server zu kompromittieren. Wie weit sie verbreitet ist, war zunächst unklar. Die Wahrscheinlichkeit ist jedoch groß, dass die mit dieser Schwachstelle in Verbindung stehenden Angreiferaktivitäten in den nächsten Tagen deutlich zunehmen werden.

Java Bibliotthek Log4j

Was ist Log4j?

Log4j wird in vielen Java-Anwendungen eingesetzt und ist eine sogenannte Logging-Bibliothek. Sie ist dafür da, Ereignisse im Server-Betrieb wie in einem Logbuch festzuhalten - zum Beispiel für eine spätere Auswertung von Fehlern.

Aufgrund der Tatsache, dass diese Bibliothek in sehr vielen Systemen zum Einsatz kommt, und diese Schwachstelle sehr einfach ausgenutzt werden kann, ist schnelles Handeln notwendig.

Welche Programme sind betroffen und was ist zu tun?

Auf Github wurde am Montagmorgen eine erste Liste mit Sicherheitswarnungen für Produkte von über 140 Herstellern veröffentlicht. Einige der Links verweisen direkt auf Herstellerseiten, die neben Informationen zur Betroffenheit auch Updates für Ihre Produkte bereitstellen. Die Inhalte wurden durch das BSI stichprobenartig verifiziert und sollen als erste Orientierungshilfe dienen. Laut BSI ist die Angabe der betroffenen Systeme noch nicht abgeschlossen und somit noch nicht vollständig. Weitere Hersteller prüfen derzeit noch die Betroffenheit.

Folgende Software und Programme, die wir ggf. bei Ihnen betreuen, sind betroffen und benötigen Handlungsbedarf:

Folgende Software und Programme, die wir ggf. bei Ihnen betreuen, sind nicht betroffen und benötigen keinen weiteren Handlungsbedarf:

Hersteller, Software und Programme, bei denen wir die Betroffenheit noch abklären:

  • keine

Wir empfehlen grundsätzlich: Sofern die Hersteller Updates zur Verfügung stellen, sollten Sie diese umgehend installieren und sich um ein aktives Monitoring Ihrer IT-Umgebung kümmern.

Machen Sie keine Kompromisse, wenn es um Ihre Sicherheit geht

AE

Diese Themen könnten Sie auch interessieren:

Axis News 2022

AXIS News 2022

Wir informieren Sie über Neuigkeiten aus der Welt von Videoanalyse, -überwachung und Zutrittsmöglichkeiten. Nachfolgend finden Sie eine Auswahl der neuesten Innovationen von Produkten und Lösungen unseres Partners AXIS.
News
Mehr Sicherheit durch neue Switch-Serie

Neue Switch-Serie von Sophos

Netzwerkinfrastruktur optimieren, verbundene Geräte optimieren und die Verwaltungskosten reduzieren - durch die neue Switch-Serie von Sophos ist das möglich.
News