Die Fakten:
Nach der Microsoft-Sicherheitslücke Anfang Dezember sorgt nun die Sicherheitslücke Log4Shell für Aufsehen. Es ist das Bundesamt für Sicherheit in der Informationstechnik (BSI) (das deutsche Pendant zur ANSSI) machte am 10. Dezember 2021 auf die Schwachstelle aufmerksam.
Sie betrifft die von der Apache Foundation entwickelte Log4j-Protokollierungsbibliothek. Eine Bibliothek, auch Softwarebibliothek genannt, ist eine Sammlung von Funktionen und Klassen, die bereits in einer bestimmten Sprache programmiert wurden, um Software zu entwickeln. Bei Missbrauch kann die Log4j-Bibliothek unbefugten Code auf einem Server ausführen.
Diese Sicherheitslücke gibt Anlass zur Sorge, da die Log4j-Bibliothek weltweit sehr häufig verwendet wird, insbesondere von großen Unternehmen. Betroffen von dieser Schwachstelle sind die Versionen 2.0 bis 2.14.1. Darüber hinaus handelt es sich um eine 0-Day-Sicherheitslücke, d. h., zum Zeitpunkt ihrer Entdeckung war noch kein Patch verfügbar.
Laut Jennifer Easterly, Direktorin der CISA, „ist dies eine der schwerwiegendsten, wenn nicht sogar die schwerwiegendste Sicherheitslücke, mit der ich seit Beginn meiner Karriere konfrontiert war“, mit einer Bedrohungsstufe von 10. (Quelle: France24)
Guillaume Poupard, Generaldirektor der ANSSI: „Ich befürchte, dass bei näherer Betrachtung (…) man sich der relativ schwerwiegenden Konsequenzen bewusst wird“,, erklärte er und fügte hinzu: „Ich befürchte, dass die Schwachstelle schon viel länger ausgenutzt wird, als wir uns vorstellen können.“ Diese Schwachstelle wird tatsächlich aktiv ausgenutzt.
Korrekturen wurden entwickelt
Apache hat mit der Version 2.15.0 von Log4j einen Patch veröffentlicht , den wir Ihnen empfehlen, so schnell wie möglich zu installieren.
Für die betroffenen Organisationen (Unternehmen, Verwaltungen usw.) kann die Aktualisierung ihrer Tools mühsam sein. Dies ist zeitaufwendig, da sichergestellt werden muss, dass dieser „Patch” keine Kompatibilitätsprobleme verursacht. (Quelle: LeMonde) Und andere wissen vielleicht noch gar nicht, dass sie angreifbar sind ...
Zusätzlich zum Apache-Patch veröffentlichen viele Herausgeber, die Log4j verwenden, nach und nach weitere Patches. Bei Schwierigkeiten bei der Migration zu dieser Version können vorübergehend Umgehungsmaßnahmen vorübergehend angewendet werden.
Avant de Cliquer sensibilisiert Sie für Cybersicherheit...
- Zunächst empfehlen wir Ihnen, zu überprüfen, ob Sie von dieser Sicherheitslücke betroffen sind, indem Sie eine Bestandsaufnahme Ihrer Anwendungen durchführen.
- Aktualisieren Sie die Bibliothek auf Version 2.16.00 (oder vorübergehende Umgehungslösung).
- Überprüfen Sie Ihre Protokolle, um sicherzustellen, dass kein Angriff stattgefunden hat.
- Führen Sie technische und organisatorische Lösungen in Ihrem Unternehmen ein, um Ihre Teams für Cybersicherheit zu sensibilisieren.
