010000000010101010100100011100011100001111100000000000001111111000000000001111100011001101000100010101000100010101000100010000100010101101001000100111000100010001001011101000100100010001000100100010101010101000100010001010
log4j

Kritische Schwachstelle in log4j veröffentlicht (CVE-2021-44228)

Das Bundesamt für Sicherheit in der Informationstechnik hat aufgrund einer Sicherheitslücke in der Java-Bibliothek Log4j die Warnstufe Rot ausgerufen. Damit warnt das Amt vor einer extrem kritischen Bedrohungslage im Netz. Grund ist eine vor wenigen Tagen entdeckte Sicherheitslücke in der weit verbreiteten Java- Bibliothek Log4j. Die sehr einfach auszunutzende Schwachstelle namens "Log4Shell" wurde zunächst in einer Version des Spiels Minecraft entdeckt. Sie betrifft aber Schätzungen von Experten zufolge unzählige weitere Online-Dienste - etwa Apples iCloud oder die Spiele- plattform Steam.

„Die Ausnutzung der genannten Schwachstelle kann zu einer vollständigen Kompromittierung der Zielsysteme führen.“

Was können Endverbraucher tun?

Log4Shell bedeutet nicht nur Alarmstufe Rot für Unternehmen, sondern auch private Nutzer können durchaus von den Auswirkungen der Lücke betroffen sein. Das gilt vor allem dann, wenn Privatpersonen Cloud-Server nutzen, die von einem Hosting-Unternehmen oder einem anderen Managed-Service-Provider betrieben werden – sei es ein Blog, ein Forum oder die Familienwebsite. Hier gilt es nun zunächst einmal herauszufinden, ob diese Services angreifbar und wann Patches geplant sind. Aktuell macht es sicherlich mehr Sinn, auf den entsprechenden Webseiten nach Informationen zu suchen, da die Anbieter höchstwahrscheinlich momentan von Emails u?berflutet werden. (Quelle: sophos.com)

Update vom 16.12.21
Aktuell sind Android & iPhonegeräte nicht von der Lücke betroffen (Quelle: Golem)

Was müssen IT-Abteilung von Unternehmen und Behörden tun?

  1. Bestandsaufnahme, welche Systeme Log4j nutzen
  2. Abschaltung nicht zwingend benötigter, verwundbarer Systeme
  3. Überprüfung der verwendeten Java-Laufzeitumgebung und Update von Log4j auf die aktuelle Version 2.16.0
  4. Überprüfung der bestehenden Backup- & Datensicherungskonzepte

Weitere Quellen

https://www.pcgameshardware.de/Sicherheit-Thema-229955/News/Log4Shell-Sicherheitsluecke-Java-Log4j-Furore-1385473/
https://gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592#gistcomment-3993316
Https://github.com/YfryTchsGD/Log4jAttackSurface
. ... hier gehts zurück ... hier gehts zu log4j