Sicherheitswarnung: Java-Schwachstelle Log4j

Laut BSI (Bundesamt für Sicherheit in der Informationstechnik) wurde eine kritische Sicherheitslücke in der Java-Bibliothek Log4j gefunden und mit der roten Warnstufe versehen, die höchste der möglichen Stufen:

rot = kritische Bedrohungslage. Ausfall vieler Dienste, der Regelbetrieb kann nicht aufrechterhalten werden.

Die Java-Bibliothek (log4j.jar-Datei) wird zum Ausführen verschiedener Webservices benötigt, ist weit verbreitet und gefährdet dadurch das gesamte Netzwerk. Weitere und aktuelle Informationen finden Sie auch beim BSI.

Die Bibliothek wird auch für unsere A.eins-App genutzt, stellt aber nach aktueller Prüfung kein Sicherheitsrisiko dar, da der Fehler NICHT enthalten ist. Wir empfehlen dennoch jedem Kunden in Ihrer Serverumgebung Sicherheitsmaßnahmen einzuleiten! Kontaktieren Sie dazu dringend Ihren IT-Administrator. Um alle Dateien mit dem Namen log4j.jar auf Ihrem System zu finden, können Sie folgendermaßen vorgehen:

Anleitung zum Suchen der log4j.jar:
  1. Öffnen Sie die DOS-Box: Windows-Start anklicken (Windowssymbol in der Menüleiste), dann „cmd“ eingeben und Enter drücken. Danach folgende Befehle eingeben:
  2. Befehl  [Erklärung]
    1. Cd\ 
      [ändert den Ort an, dem Befehle eingegeben werden auf das gesamte Laufwerk C]
    2. md install
      [erstellt den Ordner install auf Laufwerk C]
    3. Dir log4j.jar /s>c:\install\log4j.txt
      [speichert den Aufenthaltsort/Pfad der log4j-Datei in einer Text-Datei im soeben erstellten install-Ordner]
  3. Danach kann man im Datei-Explorer auf Laufwerk C im Verzeichnis „install“ nachschauen. In der Datei „log4j.txt“ sind alle Orte angegeben, wo diese Datei auf dem Laufwerk C vorhanden sind.
  4. An den entsprechenden Orten können Sie dann mit einem Rechtsklick über die Eigenschaften die Version prüfen.
Des Weiteren rät der BSI hierzu:

Da eine Ausnutzung nicht zwingend ein Nachladen von Schadcode aus dem Internet benötigt, sondern bereits mit einer einzigen Anfrage möglich ist, muss für alle verwundbaren Systeme die Angriffsfläche reduziert werden. Konkrete Schritte hierzu sind:

  • Nicht zwingend benötigte Systeme abschalten.
  • Netzwerke segmentieren, sodass verwundbare Systeme von nicht extern-verbundenen/internen Systemen isoliert werden

Aktuell prüfen wir unter Hochdruck, ob weitere Anwendungen von A.eins betroffen sein könnten. Alle unsere Kunden wurden über unseren Service-Newsletter informiert. Sobald es neue Informationen gibt, werden wir Sie umgehend informieren.

 

NACHTRAG 20.12.2021:

Update zur Log4j – Schwachstelle
Wie wir in unserem Service-Mailing informierten, haben wir jetzt nach ausführlicher Prüfung sicherstellen können, dass die in A.eins verwendeten log4j.jar-Dateien NICHT von dem Fehler betroffen sind.  Die im „bin“-Verzeichnis einer A.eins-Installation gefundene log4j.jar kann bedenkenlos entfernt oder umbenannt werden. Diese wird zukünftig auch nicht mehr mit ausgeliefert.
Beitrag teilen
  • envelope
  • linkin
  • xing

nehmen Sie jetzt Kontakt zu uns auf!