Update IT-Sicherheit: Log4shell
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat für die Schwachstelle Log4j (oder auch Log4Shell genannt) die höchste Warnstufe “rot” ausgerufen. Die Schwachstelle wird als äußerst gefährlich angesehen, da sie sowohl sehr verbreitet ist, als auch sehr leicht ausgenutzt werden kann.
Worum geht es?
Die Sicherheitslücke betrifft die Java-Protokollierungsbibliothek Log4j, welche von der Apache Software Foundation entwickelt wurde. Standardmäßig wird die Bibliothek für Log-Dateien genutzt d. h. für die die Aufzeichnung von Aktivitäten. Diese zählt zu den wichtigsten Bibliotheken für das Logging in Java und ist somit Bestandteil vieler Software-Lösungen. Dementsprechend sorgt dies für ein globales IT-Sicherheitsrisiko.
Die Schwachstelle kann ein Einfallstor für die Kompromittierung eines IT-Unternehmensnetzwerks darstellen. Insbesondere ermöglicht die Schwachstelle – formal als CVE-2021-44228 betitelt – Angreifern die Ausführung von beliebigen bösartigen Schadcode (beispielsweise Ransomware), wodurch diese die vollständige Kontrolle über Server erlangen können.
Was ist zu tun?
Laut Apache sind nur die Versionen 2.0-beta9 bis 2.14.1 von dieser Sicherheitslücke betroffen. Die Apache Foundation veröffentlichte kürzlich den Patch 2.15 zur Behebung der Schwachstelle. Mittlerweile existiert sogar eine Version 2.16 (Stand 14.12.2021).
Wenn Entwickler oder IT-Admins diese Java-Bibliothek aktiv auf Servern einsetzen, wird empfohlen, das angebotene Update von Apache schnellstmöglich zu installieren. Bei Software-Lösungen in denen die Bibliothek passiv integriert ist, muss man auf ein Update des Herstellers warten, damit die integrierte betroffene Bibliothek selbst aktualisiert werden kann.
Weiterführende Links
- Pressemitteilung BSI „Warnstufe Rot“
- Cybersicherheitswarnung des BSI
- Pressebericht Heise „Kritische Zero Day Lücke“
- Pressebericht Heise „Schutz vor schwerschwiegender Log4j-Lücke“
- CVE Details
Sie haben Fragen zur IT-Sicherheit in Unternehmen? Dann sprechen Sie uns an oder nutzen unsere Angebote zur IT-Sicherheit!
Text: Daniel Kant