Sicherheitslücke bei Komponente log4j gefährdet eine Vielzahl von Systemen

Bei der weitverbreiteten Logging-Komponente log4j 2 ist am Freitag eine schwerwiegende Schwachstelle bekannt geworden, ein Zero-Day-Exploit. Das BSI hat am Wochenende die höchste Warnstufe rot dafür ausgerufen, da es vermehrt zu Angriffen kam.

Das log4j-Framework ist als Java-Bibliothek in viele Systeme integriert, insbesondere bei webbasierten Anwendungen, die dadurch angreifbar sein können.

Die Entwickler der Open Source Software haben umgehend einen Patch und Hinweise zur Abstellung der Schwachstelle veröffentlicht. Eine Anpassung der Systeme ist dringend geboten. An der TU wurden die zentralen Dienste bereits angepasst bzw. sind temporär nur eingeschränkt verfügbar.

Weitere Informationen

Nachtrag vom 15. Dezember

Es ist wohl schlimmer als gedacht: Letztlich handelt es sich um ein grundsätzliches Problem der Spezifikation der Programmiersprache, da diese zur Laufzeit ein (Nach)laden von Variablen und ihren Werten aus externen Quellen erlaubt. Daher sind solche problematische Schwachstellen auch schwer im Code zu erkennen. Überdiese Art von Schnittstellen verfügt nicht nur Java, es ist ein gängiges Konzept. Leider kein Sicherheitskonzept. Zumindest bleibt zu hoffen, dass die log4j-Schwachstelle ein Umdenken anregt.

Autor: don't panic

Über das Pseudonym: "Don't panic" ist auf das Cover des legendären elektronischen Reiseführers durch die Galaxis gedruckt, damit ein Anhalter keine Angst verspürt. - The British author Arthur C. Clarke said Douglas Adams' use of "don't panic" was perhaps the best advice that could be given to humanity. cf. Wikipedia

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.