Am 9. Dezember 2021 wurde eine kritische Schwachstelle (CVE-2021-44228) im Apache Log4j Java Logging Framework gemeldet. Die Schwachstelle ermöglicht es Bedrohungsakteuren, Code sowohl auf lokalen als auch auf Cloud-basierten Anwendungsservern aus der Ferne auszuführen und so die Kontrolle über die betroffenen Server zu erlangen. Dies ist eine kritische Schwachstelle von sehr hoher Bedeutung für sämtliche Unternehmen und Organisationen.

Im Gegensatz zu bisherigen Software Schwachstellen haben wir es bei der Log4j mit einer extrem weit verbreiteten, leicht auszunutzenden und potentiell hochgradig schädlichen Schwachstelle zu tun. Weltweit arbeiten Softwarehersteller, deren Anwendung davon betroffen sind, an Updates und Patches, um diese Lücke zu schließen. Leider wird es noch einige Zeit dauern, bis Patches für alle Anwendungen zur Verfügung stehen.

Sie können jedoch vorab bereits tätig werden, um sich zu schützen:

Vorschlag Quick Fix : https://gist.github.com/daimoniac/5f71902410b21a679d77a7d8d8c4a353 (vorher Backups machen)

Zero Day Migration Guide von Lunasec: https://www.lunasec.io/docs/blog/log4j-zero-day-mitigation-guide/

Wichtige Links

BSI Sonderseite mit der aktuellen Fassung der Sicherheitswarnung und einem Arbeitspapier zur Detektion und Reaktion auf die Log4j Schwachstelle

GITHub Auflistung betroffener Anwendungen

TEchSolvency Auflistung betroffener (und nicht betroffener) Produkte

Python-Script für Rechner mit HTTP Server zum Testen ob ein System betroffen ist

Stand: 15.12.2021 – 10Uhr