Alarmstufe ROT

12.1.2022 “Log4j”-Updtae
Laut BSI stehen Updates bereit, um die Schwachstelle wirksam schließen zu können. Daher hat das BSI die Warnstufe von Rot auf Gelb herabgesetzt. Aber nicht alle Dienstebetreiber und Softwareentwickler haben die nötigen Aktualisierungen vorgenommen, sodass die entsprechenden Systeme weiterhin verwundbar sein können. Besteht der Verdacht, dass zum Beispiel Schadsoftware eingeschleust wurde, sollten Betroffene auf bestehende Sicherungskopien zurückgreifen. “Auszugsweise aus der BSI-Info entnommen.

30.12.2021 “Log4j”-Update
Laut www.it-day.net ist nun genauer bekannt, welche Server bertroffen sind (ca. ein Drittel aller Webserver) und welche Gefahren bestehen. Es wird empfohlen Systeme zu scannen und zu härten. Eine Liste der bekannten und anfälligen Systeme finden sie hier. Aus der Liste können sie auch entnehmen, welche Systeme betroffen sind und für welche Systeme es bereits Patches/Updates gibt. 

11.12.2021 “Log4j” Schwachstelle
Bundesamt für Sicherheit in der Informationstechnologie (BSI) meldet Alarmstufe ROT. 
Schwachstelle in Systemen, die Java-Anwendungen nutzen. Diese Schwachstelle ermöglicht es Angreifern gegebenenfalls auf dem Zielsystem eigenen Programmcode auszuführen und so den Rechner zu kompromittieren. Es gibt Hinweise, dass weltweit Angriffsversuche  z.T. erfolgreich waren. Das gesamte Ausmaß der Bedrohungslage ist nicht abschließend feststellbar. Heimtückisch ist, dass Angreifer jetzt mit Hilfe der Lücke unauffällige Hintertüren in befallene Systeme einbauen. Die eigentlichen Angriffe erfolgen sicherlich erst Wochen oder viele Monate später!

Was kann ich tun?
Sofern Software-Updates für ihr System verfügbar sind, sollten diese umgehend installiert werden!
Konsultieren sie bei Bedarf IT-Sicherheits-Experten. 

Details:
Log4j ist eine beliebte Protokollierungsbibliothek für Java-Anwendungen. Sie dient der performanten Aggregation von Protokolldaten einer Anwendung. Das Blog eines Dienstleisters für IT-Sicherheit [LUN2021] berichtet über die Schwachstelle CVE-2021-44228 [MIT2021] in log4j in den Versionen 2.0 bis 2.14.1, die es Angreifern gegebenenfalls ermöglicht, auf dem Zielsystem eigenen Programmcode auszuführen und so den Server zu kompromittieren. Diese Gefahr besteht dann, wenn log4j verwendet wird, um eine vom Angreifer kontrollierte Zeichenkette wie
beispielsweise den HTTP User Agent zu protokollieren.
Quelle: Bundesamt für Sicherheit in der Informationstechnik
https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2021/2021-549032-10F2.pdf

Links:
https://www.sueddeutsche.de/wirtschaft/log4shell-log4j-cybersicherheit
https://www.heise.de/news/Kritische-Zero-Day-Luecke-in-log4j-gefaehrdet
https://www.t-online.de/computer/id_91307092/grosser-bedrohung-durch-software-sicherheitsluecke-bsi-warnt

Was ist die Java-Technologie und wozu brauche ich sie?
Java ist eine Programmiersprache und eine Laufzeitumgebung, die zuerst im Jahre 1995 von Sun Microsystems veröffentlicht wurde. Es gibt eine täglich wachsende Anzahl von Anwendungen und Websites, die nur funktionieren, wenn auf dem Endgerät Java installiert ist. Java ist schnell, sicher und zuverlässig. Angefangen bei Laptops bis hin zu Rechenzentren, Spielekonsolen, wissenschaftlichen Supercomputern, Mobiltelefonen und dem Internet, Java wird überall verwendet.
Quelle: https://java.com/de/download/help/whatis_java.html

Was genau ist Log4j?
log4j – Wikipedia

WordPress Cookie Plugin von Real Cookie Banner