Log4j: Dringender Handlungsbedarf für IT-Sicherheitsexperten und IT-Administratoren
Vorab: Wir arbeiten bereits seit Tagen daran, die aktiven Projekte, in denen die betroffene Logging-Bibliothek genutzt wird, zu prüfen und Updates durchzuführen. Die Kunden wurden bereits benachrichtigt, erste Updates sind bereits durchgeführt und Lösungen protokoliert. Nachdem die kritische Sicherheitslücke am 09.12.2021 erstmals publik wurde, stufte das Bundesamt für Sicherheit in der Informationstechnik (BSI) die sogenannte Zero-Day-Lücke in der weit verbreiteten Java-Bibliothek Log4j vergangenes Wochenende nachträglich hoch. (Quelle: BSI zur kritischen Schwachstelle (Log4 Shell)). Ab da ging der Wettlauf zwischen Hackern und Sicherheitsexperten im Netz los.
Die Logging-Bibliothek Log4j zählt zu den fortgeschrittenen Logging-Bibliotheken und ist daher so beliebt. Sie wird eingesetzt, um innerhalb von Java-Anwendungen auftretende Ereignisse zu protokollieren. Eingesetzt wird die Bibliothek nicht nur von großen namenhaften Unternehmen, sie steckt auch in vielen Netzwerk- und Systemkomponenten, die auch von kleineren Firmen und Privatpersonen genutzt werden.
Sicherheitsspezialisten arbeiten weltweit bereits fieberhaft daran, verwundbare Systeme zu identifizieren und Lücken zu füllen. Log4j hat selbst bereits reagiert und eine Version veröffentlicht, die die ganze Lookup-Logik und die Defaults verbessert. Hier sollte also direkt auf die Version 2.16 aktualisiert werden.
Note: Weitere Informationen und Updates zur Entwicklung der Situation innerhalb einiger betroffener Projekte, sowie das konkrete Vorgehen, werden direkt und proaktiv über Projektmanager an die jeweiligen Product Owner kommuniziert.
Sollten auch Sie eine Software besitzen, die Sie gerne prüfen lassen würden, können Sie sich gerne bei uns unter anfrage@x-root.de melden.