Was ist Log4j?
Log4j ist eine beliebte Protokollierungs-Bibliothek und wird in vielen Java-Anwendungen eingesetzt. Sie dient der performanten Aggregation von Protokolldaten einer Anwendung.
Die entsprechende Sicherheitslücke ermöglicht es, auf dem Zielsystem von Dritten eingeschleuste Programmcodes auszuführen und den eigenen Server so zu kompromittieren, dass weitere Schadsoftware nachgeladen oder vertrauliche Daten offengelegt werden können.
Das alleinige Aktualisieren der Bibliothek über die Softwareverwaltung von Betriebssystemen reicht zur Schließung der Schwachstelle nicht aus.
Die Bibliothek wird häufig von Softwareherstellern in die Auslieferungsdateien der eigenen Software direkt integriert und ist daher unabhängig von der auf dem Betriebssystem allgemein installierten Bibliotheks-Version.
Eine ähnliche Problematik ergibt sich für die verwendete Java-Version.
Welche Sofortmaßnahmen sind zu ergreifen?
Grundsätzlich gilt: wenn Sie bei Bewältigung der Situation (schnelles Patchen, forensische Untersuchungen, etc.) Unterstützung brauchen, sollten Sie wegen der möglichen schwerwiegenden Konsequenzen für Ihre Organisation einen IT-Dienstleister hinzuziehen
-
Identifizieren Sie potenziell betroffene Systeme.
Das können solche sein, welche Java als Installations-Voraussetzung haben oder Java installieren.
-
Patch installieren
Anschließend sollten bereitgestellte Patches installiert werden. Gehen Sie priorisiert vor: fangen Sie an bei Ihren kritischen Systemen wie Windows- und Linux-Servern, Appliances wie Firewalls, Logging-Server, Hypervisors, Router, managed Switches und andere relevanten Security-Systeme - anschließend alle Systeme mit direkter Anbindung ans Internet.
-
Hinweise des BSI folgen
Folgen Sie dann den weiteren Hinweisen und Maßnahmen, die in der u.a. Information des Bundesamtes für Sicherheit in der Informationstechnik (BSI) beschrieben sind – diese Information wird durch das BSI laufend aktualisiert