Aus den Medien und unter anderem aus der Tagesschau ist eine Sicherheitslücke bekannt geworden, die weitreichende Folgen in jedem Netzwerk haben könnte. Es handelt sich hierbei um die Programmbibliothek Log4j. Diese Bibliothek ist bekannt für ein große Funktionalität und ebenso große Vielfalt rund um das Verfahren „Logging“. Einfach ausgedrückt: Das Logging-Verfahren hilft das Verhalten des Users und des Programms zu verfolgen um Logikfehler im Programmcode zu identifizieren und entsprechend den Code, auch an die gegebenen Geschäftsprozesse, anzupassen.
Das Framework ist einer der Marktführer für diesen Bereich. Es können verschiedene Logging-Levels eingestellt werden. Ebenso lässt sich das „Log“ (Protokolleinträge, wie eine Art Tagebuch) in verschiedenen Ausgabeformaten, wie z.B. XML, TXT, CSV, etc. ausgeben werden, um weitere Auswertungen machen zu können.
Das Framework wurde erstmalig am 08. Januar 2001 veröffentlicht und steht unter einer Apache-Lizenz (somit Open Source, siehe).
Seitdem sind viele Erweiterungen hinzugekommen. Seit Juli 2014 ist log4j 2 als Nachfolger des log4j 1.x verfügbar.
Wie es der Name schon verrät ist das Log4j-Framework bei Java-Anwendungen im Einsatz. Log4j ist sehr populär. Auf Grundlage dieser Popularität wurden weitere Frameworks auf Grundlage von Log4j programmiert. Ff. eine Auflistung:
- Log4c : Basis bildet die Programmsprache C
- Log4js : Basis bildet die Programmsprache Ajax
- Log4db2 : Basis bildet die Datenbank DB2
- Apache Log4cxx : Basis bildet die Programmsprache C++
- Log4r : Basis bildet die Programmsprache Ruby
- Apache log4php : Basis bildet die Programmsprache PHP
- log4perl : Basis bildet die Programmsprache Perl
- Apache Log4net : Basis bildet die Programmsprache .NET (C#, VB, etc.)
- log4javascript : Basis bildet die Programmsprache JavaScript
Am 10. Dezember 2021 wurde eine Zero-Day-Lücke in log4j Version 2 bekannt (CVE-2021-44228), welche Angreifer ausnutzen konnten, um Code auf dem jeweiligen Host bzw. Hostsystem, sei es Server oder Client auszuführen. Lt. unseren Quellen konnten Angreifer die Rechenleistung von den infizierten Servern ausnutzen, um Krypto-Mining zu betreiben. Mit der neuen Log4j Version 2.15.0 wurde die Lücke geschlossen. Bekannt wurde ebenfalls, dass Dienste unter anderem Amazon Web Services, Steam und iCloud betroffen sind.
Die Firma Point nutzt ebenfalls das Framework für .NET „Log4net“. Lt. unseren Informationen liegen hier keinerlei Sicherheitslücken vor. Wir informieren Sie natürlich schnellstmöglich und werden bei bekanntgeben alle Maßnahmen treffen, die Ihr System weiterhin sauber hält.
Im Übrigen sind nur die Systeme betroffen, die Log4j als Verfahren nutzen die direkt mit dem World-Wide-Web verbunden sind. Das kann bedeuten, dass sie nichts tun müssen. Es kann aber durchaus sein, dass einige Update-Dienste in Ihrem Netzwerk das Framework/Bibliothek verwenden und somit eine potenzielle Bedrohung darstellen.
Wir sehen uns in der Pflicht Ihnen zusätzlich noch mitzuteilen, ohne dabei dem jeweiligen Softwaredienstleister „schlecht zu machen“, welche weiteren Softwarelösungen betroffen sein könnten. Die Lösungen sind weitestgehend bei unseren Kunden im Einsatz und der technische Ansprechpartner sollte diesbezüglich befragt werden:
- Opti-Tool
- Easy-Archiv
- DocuWare
- eGecko
- Lösungen auf Grundlage von Oracle
- Wandplan-Systeme
- Fördertechnik
- Hochregallager
- crossnix Lösungen (arbeiten bereits an der Schließung der Sicherheitslücke, Stand 15.12.2021)
Jüngst ist auch SAP Crystal Reports davon betroffen, dessen Funktionalität wir für die Druckaufbereitung nutzen. Ein direkter Zugriff auf das Web ist uns nicht bekannt und somit (Stand 15.12.2021) ist keine Gefahr davon auszugehen.
Hinzu kommt, dass heute ein Statement von Uniface gemacht wurde. Alle Versionen älter als 9.6.x.x seien betroffen, werden aber nicht mehr gepatcht bzw. upgedatet. Wir empfehlen die Softwarelösung auf den Stand 9.7.5.0 zu heben. Sie können uns gerne persönlich darauf ansprechen.
Ebenfalls schließt die C’t (eine bekannte Computerfachzeitschrift) Bankensoftware nicht aus. Uns fällt hierzu ein:
- SFirm
- Profi cash
Zu guter Letzt bleiben Sie Gesund!
Viele Grüße
POINT