Warnstufe Rot: Warnung vor kritischer Sicherheitslücke in Log4j

Frisch entdeckte Sicherheitslücke in der Java-Bibliothek Log4j.

IT-Sicherheitsexperten schlagen Alarm. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) setzte am Samstag seine Warnstufe zu der kritischen Schwachstelle (CVE-2021-44228) von Orange auf Rot hoch. Angreifern ist es gegebenenfalls möglich, auf dem Zielsystem eigenen Programmcode auszuführen und so den Server zu kompromittieren. Wie weit sie verbreitet ist, war zunächst unklar. Die Wahrscheinlichkeit ist jedoch groß, dass die mit dieser Schwachstelle in Verbindung stehenden Angreiferaktivitäten in den nächsten Tagen deutlich zunehmen werden.

Java Bibliotthek Log4j

Was ist Log4j?

Log4j wird in vielen Java-Anwendungen eingesetzt und ist eine sogenannte Logging-Bibliothek. Sie ist dafür da, Ereignisse im Server-Betrieb wie in einem Logbuch festzuhalten - zum Beispiel für eine spätere Auswertung von Fehlern.

Aufgrund der Tatsache, dass diese Bibliothek in sehr vielen Systemen zum Einsatz kommt, und diese Schwachstelle sehr einfach ausgenutzt werden kann, ist schnelles Handeln notwendig.

Welche Programme sind betroffen und was ist zu tun?

Auf Github wurde am Montagmorgen eine erste Liste mit Sicherheitswarnungen für Produkte von über 140 Herstellern veröffentlicht. Einige der Links verweisen direkt auf Herstellerseiten, die neben Informationen zur Betroffenheit auch Updates für Ihre Produkte bereitstellen. Die Inhalte wurden durch das BSI stichprobenartig verifiziert und sollen als erste Orientierungshilfe dienen. Laut BSI ist die Angabe der betroffenen Systeme noch nicht abgeschlossen und somit noch nicht vollständig. Weitere Hersteller prüfen derzeit noch die Betroffenheit.

Folgende Software und Programme, die wir ggf. bei Ihnen betreuen, sind betroffen und benötigen Handlungsbedarf:

Folgende Software und Programme, die wir ggf. bei Ihnen betreuen, sind nicht betroffen und benötigen keinen weiteren Handlungsbedarf:

Hersteller, Software und Programme, bei denen wir die Betroffenheit noch abklären:

  • keine

Wir empfehlen grundsätzlich: Sofern die Hersteller Updates zur Verfügung stellen, sollten Sie diese umgehend installieren und sich um ein aktives Monitoring Ihrer IT-Umgebung kümmern.

Machen Sie keine Kompromisse, wenn es um Ihre Sicherheit geht

AE

Diese Themen könnten Sie auch interessieren:

Ansicht

Digital Process Day 2024

Der Digital Process Day bietet eine einzigartige Gelegenheit, sich mit Experten aus Wissenschaft und Praxis auszutauschen, innovative Ansätze kennenzulernen und gemeinsam Lösungen für die Herausforderungen der digitalen Transformation zu entwickeln.
Event
Newsliste

Europameisterschaft 2024

Um sicherzustellen, dass Sie kein Spiel verpassen und immer über die aktuellen Termine informiert sind, bieten wir Ihnen unseren kostenfreien EM 2024 Kalender zum Ausdrucken und zur Integration in Ihr Outlook an.
News
Podcast

ProComp ON AIR! Der IT-Podcast.

Unsere Moderatorin Eva Schiener wird Sie monatlich mit interessanten Themen, Einblicken in unsere Firma und exklusiven Interviews versorgen.
News
AXIS News Januar 2024

AXIS News Januar 2024

Wir informieren Sie über Neuigkeiten aus der Welt von Videoanalyse, -überwachung und Zutrittsmöglichkeiten. Nachfolgend finden Sie eine Auswahl der neuesten Innovationen von Produkten und Lösungen unseres Partners Axis Communications.
News