Update IT-Sicherheit: Log4shell

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat für die Schwachstelle Log4j (oder auch Log4Shell genannt) die höchste Warnstufe “rot” ausgerufen. Die Schwachstelle wird als äußerst gefährlich angesehen, da sie sowohl sehr verbreitet ist, als auch sehr leicht ausgenutzt werden kann.

Worum geht es?

Die Sicherheitslücke betrifft die Java-Protokollierungsbibliothek Log4j, welche von der Apache Software Foundation entwickelt wurde. Standardmäßig wird die Bibliothek für Log-Dateien genutzt d. h. für die die Aufzeichnung von Aktivitäten. Diese zählt zu den wichtigsten Bibliotheken für das Logging in Java und ist somit Bestandteil vieler Software-Lösungen. Dementsprechend sorgt dies für ein globales IT-Sicherheitsrisiko.

Die Schwachstelle kann ein Einfallstor für die Kompromittierung eines IT-Unternehmensnetzwerks darstellen. Insbesondere ermöglicht die Schwachstelle – formal als CVE-2021-44228 betitelt – Angreifern die Ausführung von beliebigen bösartigen Schadcode (beispielsweise Ransomware), wodurch diese die vollständige Kontrolle über Server erlangen können.

Was ist zu tun?

Laut Apache sind nur die Versionen 2.0-beta9 bis 2.14.1 von dieser Sicherheitslücke betroffen. Die Apache Foundation veröffentlichte kürzlich den Patch 2.15 zur Behebung der Schwachstelle. Mittlerweile existiert sogar eine Version 2.16 (Stand 14.12.2021).

Wenn Entwickler oder IT-Admins diese Java-Bibliothek aktiv auf Servern einsetzen, wird empfohlen, das angebotene Update von Apache schnellstmöglich zu installieren. Bei Software-Lösungen in denen die Bibliothek passiv integriert ist, muss man auf ein Update des Herstellers warten, damit die integrierte betroffene Bibliothek  selbst aktualisiert werden kann.

Weiterführende Links

Sie haben Fragen zur IT-Sicherheit in Unternehmen? Dann sprechen Sie uns an oder nutzen unsere Angebote zur IT-Sicherheit!

Text: Daniel Kant

Kontakt
close slider

Kontakt

Mittelstand 4.0-Kompetenzzentrum IT-Wirtschaft

Hauptstadtbüro Berlin:
Haus der Bundespressekonferenz
Schiffbauerdamm 40
10117 Berlin

T +49 30 22605 006
kontakt@itwirtschaft.de

Kontaktformular

Newsletternameldung