Kritische Schwachstelle in log4j
BSI: Warnstufe Rot
Das Bundesamt für Sicherheit in der Informationstechnik veröffentlicht eine kritische Schwachstelle in log4j (CVE-2021-44228).
Die Warnstufe wurde auf 4/Rot festgesetzt!
Sachverhalt:
Log4j ist eine beliebte Protokollierungsbibliothek für Java-Anwendungen. Sie dient der performanten Aggregation von Protokolldaten einer Anwendung.
Das Blog eines Dienstleisters für IT-Sicherheit [LUN2021] berichtet über die Schwachstelle CVE-2021-44228 [MIT2021] in log4j in den Versionen 2.0 bis 2.14.1, die es Angreifern gegebenenfalls ermöglicht, auf dem Zielsystem eigenen Programmcode auszuführen und so den Server zu kompromittieren. Diese Gefahr besteht dann, wenn log4j verwendet wird, um eine vom Angreifer kontrollierte Zeichenkette wie beispielsweise den HTTP User Agent zu protokollieren.
BSI Infos: PDF des BSI zur Schwachstelle log4j
Aussage zu Systemen welche wir vertreiben:
– ELO: Server- und Clientupdates sind notwendig. Bitte wenden Sie sich an unser ELO-Team per Mail.
– Astimax: Laut Newsletter der Addix Software GmbH „Mit Ihrer Astimax IP oder IPV können Sie beruhigt sein. Die benannte Bibliothek kommt weder in Astimax 5 zum Einsatz noch in der aktuellen Version Astimax 6. Ihre Astimax bleibt damit sicher.“
– Unifi: Keine Maßnahmen notwendig
– VMWare: Keine Maßnahmen notwendig
– WordPress: Keine Maßnahmen notwendig (da PHP)
– G-Data: Managed Service Kunden sind gut geschützt. Kundenseitige Clients und auch die G DATA Update-Server waren und sind NICHT von Log4Shell betroffen.
– Lexware: Lexware nutzt diese beschriebenen Bibliotheken nicht. Auch Lösungen wie das PayRoll Archiv nutzen diese Bibliothek nicht.
Wir halten Sie in diesem Blog stets auf dem aktuellen Sachstand.
Zeitstempel: 16.12.2021 08:18 Uhr
Ihre CONACTIVEs
Zurück zur Übersicht