Aktuell hält die Zero-Day-Schwachstelle in Apaches Log4j Modul die Welt in Atem. Log4j ist ein Java-Framework zum Logging von Anwendungsmeldungen. Bei einer Vielzahl an Softwareherstellern hat sich diese Programmroutine als Standard-Methode für das Logging etabliert. Konkret genutzt wird Log4j, um Protokolldaten einer Anwendung zu erzeugen.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt in seiner Pressemitteilung vom 11.12.2021 mit der Alarmstufe „Rot“ vor der Sicherheitslücke mit der Bezeichnung CVE-2021-44228 und rät zu extremen Maßnahmen. „Zwar gibt es für die betroffene Java-Bibliothek Log4j ein Sicherheits-Update, allerdings müssen alle Produkte, die Log4j verwenden, ebenfalls angepasst werden.“, schreibt das BSI in ihrer Presseaussendung.
Da die Java-Bibliothek Log4j auch von einer großen Anzahl namhafter Unternehmen genutzt wird, ist die Schwachstelle so gefährlich. Groß angelegte Scans nach der Schwachstelle sowie versuchte und bereits erfolgreiche Angriffe sind öffentlich bekannt geworden. Hacker können die Schwachstelle ausnutzen, um beliebigen Code auszuführen oder Systeme jetzt mit Hintertüren so zu manipulieren, um diese nach einer gewissen Zeit zu attackieren. Dementsprechend ist das gesamte Ausmaß des Schadens, welchen diese Schwachstelle verursacht, noch nicht absehbar.
Über github.com ist eine stets aktualisierte und umfangreiche Liste veröffentlicht worden, die den Update-Status von zahlreichen Herstellern sammelt: https://github.com/NCSC-NL/log4shell/tree/main/software
„Wir haben die aktuelle Berichterstattung über die kritische Sicherheitslücke in Apache Log4j verfolgt und ich darf an dieser Stelle mitteilen, dass unsere oneclick™ Plattform-Systeme nicht von der Schwachstelle betroffen sind. Damit sind unsere Kunden weiterhin geschützt und es besteht kein Handlungsbedarf im Hinblick auf die oneclick™ Plattform. Wir empfehlen unseren Kunden dennoch, ihre weiteren eingesetzten Systeme hinsichtlich dieser Schwachstelle zu prüfen.“, sagt Dominik Birgelen, CEO der oneclick AG.
Hier erfahren Sie mehr zur Sicherheit der oneclick™ Plattform.
