Warnstufe Rot: Warnung vor kritischer Sicherheitslücke in Log4j

Frisch entdeckte Sicherheitslücke in der Java-Bibliothek Log4j.

IT-Sicherheitsexperten schlagen Alarm. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) setzte am Samstag seine Warnstufe zu der kritischen Schwachstelle (CVE-2021-44228) von Orange auf Rot hoch. Angreifern ist es gegebenenfalls möglich, auf dem Zielsystem eigenen Programmcode auszuführen und so den Server zu kompromittieren. Wie weit sie verbreitet ist, war zunächst unklar. Die Wahrscheinlichkeit ist jedoch groß, dass die mit dieser Schwachstelle in Verbindung stehenden Angreiferaktivitäten in den nächsten Tagen deutlich zunehmen werden.

Java Bibliotthek Log4j

Was ist Log4j?

Log4j wird in vielen Java-Anwendungen eingesetzt und ist eine sogenannte Logging-Bibliothek. Sie ist dafür da, Ereignisse im Server-Betrieb wie in einem Logbuch festzuhalten - zum Beispiel für eine spätere Auswertung von Fehlern.

Aufgrund der Tatsache, dass diese Bibliothek in sehr vielen Systemen zum Einsatz kommt, und diese Schwachstelle sehr einfach ausgenutzt werden kann, ist schnelles Handeln notwendig.

Welche Programme sind betroffen und was ist zu tun?

Auf Github wurde am Montagmorgen eine erste Liste mit Sicherheitswarnungen für Produkte von über 140 Herstellern veröffentlicht. Einige der Links verweisen direkt auf Herstellerseiten, die neben Informationen zur Betroffenheit auch Updates für Ihre Produkte bereitstellen. Die Inhalte wurden durch das BSI stichprobenartig verifiziert und sollen als erste Orientierungshilfe dienen. Laut BSI ist die Angabe der betroffenen Systeme noch nicht abgeschlossen und somit noch nicht vollständig. Weitere Hersteller prüfen derzeit noch die Betroffenheit.

Folgende Software und Programme, die wir ggf. bei Ihnen betreuen, sind betroffen und benötigen Handlungsbedarf:

Folgende Software und Programme, die wir ggf. bei Ihnen betreuen, sind nicht betroffen und benötigen keinen weiteren Handlungsbedarf:

Hersteller, Software und Programme, bei denen wir die Betroffenheit noch abklären:

  • keine

Wir empfehlen grundsätzlich: Sofern die Hersteller Updates zur Verfügung stellen, sollten Sie diese umgehend installieren und sich um ein aktives Monitoring Ihrer IT-Umgebung kümmern.

Machen Sie keine Kompromisse, wenn es um Ihre Sicherheit geht

AE

Diese Themen könnten Sie auch interessieren:

Taste einer Tastatur mit Aufschrift Datenschutz

2. UPDATE zum Hinweisgeberschutzgesetz 

Für Unternehmen zwischen 50 und 249 Mitarbeitern kommt die gesetzliche Verpflichtung zur Einführung eines Hinweisgeberverfahrens ab dem 17.12.2023. Was das für Sie bedeutet und was zu beachten ist, lesen Sie im Artikel.
News
Taste einer Tastatur mit Aufschrift Datenschutz

UPDATE Hinweisgeberschutzgesetz 

Für Unternehmen zwischen 50 und 249 Mitarbeitern kommt die gesetzliche Verpflichtung zur Einführung eines Hinweisgeberverfahrens ab dem 17.12.2023. Was das für Sie bedeutet und was zu beachten ist, lesen Sie im Artikel.
News
Sophos MDR

Sophos Breach Protection Warranty

Die Breach Protection Warranty ist jetzt in allen Sophos MDR Subscriptions enthalten und übernimmt Kosten für Reaktionsmaßnahmen in Höhe von bis zu 1 Mio. US-Dollar.
News