News

Log4J-Lücke: Alarmstufe Rot durch BSI ausgesprochen

Bild von Simon Lüthje Simon Lüthje13. Dezember 2021

Die gesamte Tragweite der Log4J-Sicherheitslücke ist noch immer nicht absehbar. Daher hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) die höchste Warnstufe „4/Rot“ ausgesprochen. Die Lücke werde derzeit bereits aktiv ausgenutzt.

Log4J-Lücke: Eine große Gefahr

Die Gefahr durch die Log4J-Lücke (CVE-2021-44228) ist größer als offenbar ursprünglich angenommen. Das weit verbreitete Logging-Werkzeug Log4J ist viel zu leicht zu übernehmen, betroffen sind Minecraft, Kryptominer und viele andere Programme. Die gesamte Reichweite der Sicherheitslücke ist aktuell noch nicht auszumachen.

Anders als bisher angenommen gilt inzwischen auch die Version 1 von Log4J unter bestimmten Umständen als verwundbar für den Angriff, nicht nur Version 2. V1 ist End of Life (EOL) und wird seit einigen Jahren nicht mehr offiziell gepflegt.

Das Unternehmen Cloudflare und andere vergleichen die Log4J-Lücke, mittlerweile auch als Log4Shell bezeichnet, mit Heartbleed oder Shellshock. Möglicherweise ist ein Großteil der Server im Internet bereits betroffen. Sogar das elektronische Anwaltspostfach (BeA) nutzt Log4J und ist betroffen – in Folge dessen ist das Portal derzeit nicht verfügbar.

Das BSI schreibt dazu:

Diese kritische Schwachstelle hat demnach möglicherweise Auswirkungen auf alle aus dem Internet erreichbaren Java-Anwendungen, die mit Hilfe von log4j Teile der Nutzeranfragen protokollieren.

Die Wahrscheinlichkeit ist groß, dass die mit dieser Schwachstelle in Verbindung stehenden Angreiferaktivitäten in den nächsten Tagen deutlich zunehmen werden.

Log4J: Nachweis ist schwierig

Die Anzahl an Anwendungen, die Log4J nutzen, ist schier unendlich. Gleichzeitig ist es äußerst schwierig herauszufinden, welche Programme Lof4J zwingend voraussetzen. Cloudflare beschreibt in seinem Unternehmensblog beispielsweise, wie man dagegen vorgehen will.

Man habe sämtliche JVM-Instanzen untersucht und herausgefunden, dass seine Instanzen von „Elasticsearch, Logstash und Bitbucket“ verwundbar seien. Mittlerweile sind viele andere Hersteller und Softwareanbieter nachgezogen. Eine Liste auf Github zeigt hingegen einige weitere Anwendungen als auch Webdienste als verwundbar auf.

Log4J wird von den beiden Betreuern Ralph Goers und Gary Gregory offenbar auf Hobby-Basis an den Werkzeug arbeiten, das meldet zumindest die Apache Software Foundation, die das Tool betreut.

Schlagwörter
Bild von Simon Lüthje Simon Lüthje13. Dezember 2021
Bild von Simon Lüthje

Simon Lüthje

Ich bin der Gründer dieses Blogs und interessiere mich für alles was mit Technik zu tun hat, bin jedoch auch dem Zocken nicht abgeneigt. Geboren wurde ich in Hamburg, wohne nun jedoch in Bad Segeberg.

Ähnliche Artikel

Victure PC420

Babyphones von Victure sind angreifbar – Hersteller reagiert nicht

21. September 2021

Microsoft Windows: Alte Sicherheitslücke wird aktiv ausgenutzt

14. Februar 2022
eufy Security Video Doorbell Dual

Anker Eufy Doorbell Dual: Sicherheitskamera sendet ohne Zustimmung Gesichtsdaten

30. November 2022

Sicherheitslücke: Auch SteelSeries-Software von Schlupfloch betroffen

26. August 2021

No replies yet

Beginne die Diskussion →

Neue Antworten laden...

Avatar of Basic Tutorials
Basic Tutorials

Neues Mitglied

2,690 Beiträge 1,104 Likes
Angeheftet Dec 13, 2021

Die gesamte Tragweite der Log4J-Sicherheitslücke ist noch immer nicht absehbar. Daher hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) die höchste Warnstufe „4/Rot“ ausgesprochen. Die Lücke werde derzeit bereits aktiv ausgenutzt. Log4J-Lücke: Eine große Gefahr Die Gefahr durch die Log4J-Lücke (CVE-2021-44228) ist größer als offenbar ursprünglich angenommen. Das weit verbreitete Logging-Werkzeug Log4J ist viel … (Weiterlesen...)

Antworten Like

Beteilige dich an der Diskussion in der Basic Tutorials Community →

© Copyright 2024, All Rights Reserved, *Affiliate-Link
Schaltfläche "Zurück zum Anfang"