Open-Source-Werkzeug

Log4j

Log4j ist ein Open-Source-Werkzeug, und wird zur Protokollierung benutzt, was innerhalb einer Java-Anwendung passiert. Mithilfe von Log4j wird in IT-Abteilungen beobachtet, was auf Servern mit Programmen, die auf auf verschiedenen Java-Techniken basieren, passiert, um Fehler zu erkennen. Vor knapp 21 Jahren wurde die Version 1.0 veröffentlicht und Log4j wurde zum Standardwerkzeug fürs Loging unter Java.

Allerdings werden bestimmte Zeichenfolgen von Log4j zugelassen, die im schlimmsten Fall Befehle enthalten, die auf Servern ausgeführt werden und Angreifern die Möglichkeit für eine Fernsteuerung eröffnen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat bezüglich einer „extrem kritischen IT-Sicherheitslage“ die Warnstufe ROT ausgerufen. Grund dafür ist, dass es durch Log4shell eine Schwachstelle für alle aus dem Internet erreichbaren Java-Anwendungen gibt, die über Log4j Teile von Nutzeranfragen protokollieren.

Folgende Links informieren über die derzeitige Lage:

Die aktuelle Infoseite vom BSI informiert über den aktuellen Stand unter folgendem Link:
https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2021/2021-549032-10F2.html#download=1

SAP mit S-User zu öffnen:
https://support.sap.com/content/dam/support/en_us/library/ssp/my-support/trust-center/sap-tc-01-5025.pdf

Coresystems:
https://www.coresystems.ch/de/

Eine Sammelliste von betroffenen Produkten auf freiwilliger Meldebasis finden Sie unter diesem Link:
https://gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592

Eine Sammelliste von betroffenen Produkten auf freiwilliger Meldebasis finden Sie unter diesem Link:
https://gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592

Wertvolle weitere Informationen erhalten Sie unter:
https://www.golem.de/news/log4j-luecke-warum-log4shell-so-gefaehrlich-ist-und-was-nicht-hilft-2112-161757.html