log4j ist ein Framework, welches dem Loggen von Meldungen in Java-basierten Anwendungen dient. Das Framework hat sich zu einem Quasistandard entwickelt und findet innerhalb des Produktportfolios vieler bedeutender IT-Unternehmen Anwendung. 

Seit dem 9. Dezember 2021 machten Sicherheitsmitarbeiter/-innen auf eine Sicherheitslücke (als CVE-2021-4428 betitelt) in diesem Framework aufmerksam. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat mit diesem Beitrag diese zwischenzeitlich mit Warnstufe Rot klassifiziert. Hinsichtlich ihrer Auswirkung erlaubt die Sicherheitslücke Angreifern im schlimmsten Fall die Ausführung von Programmcode auf Zielsystemen. 

Bedrohungslage 

Gemäß einer BSI-Pressemeldung vom 11.12.2021 kann das Ausmaß der Bedrohungslage nicht abschließend beschrieben werden. Das BSI schreibt: „Zwar gibt es für die betroffene Java-Bibliothek Log4j ein Sicherheits-Update, allerdings müssen alle Produkte, die Log4j verwenden, ebenfalls angepasst werden“. 

Betroffene Systeme 

Die Liste der (bis jetzt bekannten) potenziell gefährdeten Systeme ist sehr lang. Betroffen sind gleichermaßen reine Softwarelösungen, wie auch hardwaregebundene Lösungen und Cloudservices. Dieser Umstand erschwert die Bewertung der aktuellen Gefahrenlage. 

Auf github.com findet sich unter diesem Link eine umfangreiche Liste betroffener Systeme und den Update-Status der Hersteller. Diese Liste wird fortlaufend aktualisiert. 

Unsere Kunde & Unsere Produkte 

Unsere Softwarelösungen sind nach in- und externen Überprüfungen nicht von der gemeldeten Bedrohung betroffen.  

Lösungen im Rahmen unserer Rechenzentrumsdienste, bzw. von Kunden deren Infrastruktur wir warten, werden von uns hinsichtlich Betroffenheit überprüft.  

Betroffene Systeme werden von uns bei Verfügbarkeit eines im Zusammenhang stehenden Updates aktualisiert. Betroffene Systeme, bei denen ein Update des Herstellers noch aussteht, werden wir mit den entsprechenden Kunden in Kontakt treten, um eine Absprache zur Behandlung des Konfliktes festzulegen. 

Handlungsempfehlung 

Wir empfehlen unseren Kunden, ihre eingesetzten IT-Infrastrukturen und verwendeten Lösungen hinsichtlich der Betroffenheit zu überprüfen. Hierzu sollte ggf. die verlinkte Systemauflistung auf github.com (siehe ‚Betroffene Systeme‘) hinzugezogen werden. Im Zweifelsfall sollte auch Kontakt zu Hard- und Softwareherstellern aufgenommen werden, da meistens nicht erkennbar ist, ob eine Softwarelösung Java-basierend ist und sich innerhalb dessen des log4j-Frameworks bedient.