In der weit verbreiteten Java-Bibliothek Log4j wurden kürzlich 3 Schwachstellen gefunden. Eine dieser Schwachstellen (CVE-2021-44228 [MIT2021] (Log4Shell)) ist besonders kritisch und wird nach Einschätzung des BSI (Bundesamt für Sicherheit in der Informationstechnik) in die Warnstufe Rot eingestuft.

Log4j ist eine beliebte Protokollierungsbibliothek für Java-Anwendungen. Sie dient der performanten Aggregation von Protokolldaten einer Anwendung und wird entsprechend oft eingesetzt.

Momentan wird davon ausgegangen, dass sich die Sicherheitslücke in den Versionen 2.0 bis 2.14.1 befindet. Es ist allerdings nicht auszuschließen, dass sich die Sicherheitslücke nicht auch in weiteren Versionen befindet.

Die Sicherheitslücke ermöglicht es Angreifern gegebenenfalls, auf dem Zielsystem eigenen Programmcode auszuführen und so den Server zu kompromittieren. Diese Gefahr besteht, wenn log4j verwendet wird, um eine vom Angreifer kontrollierte Zeichenkette wie beispielsweise den HTTP User Agent die Felder in einer Webanwendung zu protokollieren.

Wir empfehlen dringend, die Systeme auf den Einsatz von Log4j zu überprüfen. Gerne stehen wir Ihnen in dieser Aufgabe unterstützend zur Seite. Nehmen Sie hierzu gerne Kontakt mit uns auf.

KONTAKT:
Telefon: +49 7066 9290 153
E-Mail: info@ph-prosys.de