Sicherheitslücke Log4j CVE-2021-4428

13.12.2021
Aktuelles

bezugnehmend auf die Warnung des BSI [1] über die CVE-2021-4428 möchten wir Sie mit den wichtigsten Informationen zum aktuellen Stand informieren.

Die CVE betrifft die Protokollierungsbibliothek „Apache Log4j“.

Einige Hersteller greifen für die Auswertung von Logfiles im Java Stack und ähnlichem auf diese Bibliothek zurück.

Eine durch die Community geführte Liste der Hersteller mit entsprechenden Blogbeiträgen finden Sie unter Link [2].

Durch diese Schwachstelle ergibt sich die Möglichkeit schadhaften Code auszuführen und ggf. Systeme zu kompromittieren.

Die Hersteller arbeiten bereits mit Hochdruck am Identifizieren der potentiell angreifbaren Systeme und an Patches für Ihre Software.

Sobald die entsprechend Patches veröffentlicht werden sollte diese zeitnah durchgeführt werden.

Technische Erstmaßnahmen können zum Überbrücken der Lücke nicht durchgeführt werden.

Vereinzelte Workarounds von Herstellern sind auch unter Link [2] in deren Statements zum Thema zu finden.

[1] https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2021/2021-549032-10F2.pdf?__blob=publicationFile&v=6

[2] https://gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592

[2] https://github.com/NCSC-NL/log4shell/blob/main/software/README.md?plain=1

Unter den Links sind die grundlegenden Infos, wie oben beschreiben zu finden.

Sollten hier weitere Fragen auftauchen steht Ihr link protect Team Ihnen bei sehr gerne zu Verfügung.