LOG4J Sicherheitslücke

Log4j, wie Sie sicherlich aus den Medien entnommen haben, stellt derweil die ganze IT-Welt über Kopf.

Was ist Log4J?

Es ist ein Framework zum Loggen von Anwendungsmeldungen in Java. Die Programmroutine hat sich als Standard-Logging-Methode bei Softwareherstellern etabliert. Konkret wird sie dazu verwendet, Protokolldaten einer Anwendung zu erzeugen.

Am 9. Dezember machten Sicherheitsforscher auf eine Sicherheitslücke in dieser Routine aufmerksam. Die inzwischen als Schwachstelle CVE-2021-4428 betitelte Lücke wird vom Bundesamt für Sicherheit in der Informationstechnik (BSI) inzwischen als Warnstufe Rot eingestuft. Die Sicherheitslücke ermöglicht es Angreifern gegebenenfalls Programmcode auf den Zielsystemen auszuführen.

Laut BSI-Pressemeldung vom 11.12.2021 ist das genaue Ausmaß der Bedrohungslage nicht abschließend feststellbar.

Welche Systeme sind betroffen?

Die Liste der potenziell gefährdeten Systeme ist ausgesprochen lang. Sie reicht von Serversystemen jeder Art, über Cloudsysteme bis hin zu Switchen und Routern. Die hohe Anzahl der möglichen Systeme macht die aktuelle Gefahrenlage so unübersichtlich.

Auf github.com finden Sie eine stets aktualisierte und umfangreiche Liste über den Update-Status zahlreicher Hersteller.

Unsere Handlungsempfehlungen

Sollten für Ihre Systeme noch keine Updates vorliegen bzw. der Updatestatus noch unklar sein, empfehlen wir Ihnen eine Prüfung, ob einzelne Hardware- oder Software-Systeme aktualisiert oder bis zu einem Hersteller-Update vom Internet getrennt werden müssen.

Für die Kunden, die von uns aktiv betreut werden und mit der Sicherheitssoftware Kaspersky Cloud Plus oder Kaspersky Internet Security ausgestattet sind, wurden aktuell verfügbare Patches automatisch installiert. Sobald weitere verfügbar sind, werden diese ebenfalls automatisch auf Ihre Systeme weitergereicht. Geräte oder Programme, die nicht gepatcht werden konnten und die wir aktiv betreuen, werden weitestgehend vom Internet getrennt. In diesem Falle nehmen wir direkten Kontakt zu Ihnen auf.

Für Sie Privat

Auch Ihre privaten Systeme wie Smartphones, Tablets, Computer, SmartHome Systeme, TV Systeme, Router, Alarmanlagen, Fahrzeugsoftware etc…. sind davon betroffen. Aktualisieren Sie wenn möglich zeitnah diese Systeme, sowie alle Apps die darauf ausgeführt werden. Beispielsweise indem Sie über Google Play, Apple Store, Windows Store, Windows Updates etc… die neuesten Updates abrufen und installieren.

Weitere Fragen

Sollten Sie weitere Fragen haben, melden Sie sich gerne bei uns zurück unter hello(at)digeazy.com