Log4Shell: BSI vergibt höchste Warnstufe für Log4J-Lücke

Das Ausmaß der Log4J-Lücke ist laut BSI derzeit noch nicht absehbar. Und der Log4J-Maintainer wird für die Arbeit offenbar nicht bezahlt.

Artikel veröffentlicht am ,
Die Lücke in der Java-Anwendung Log4J hat inzwischen die BSI-Warnstufe Rot.
Die Lücke in der Java-Anwendung Log4J hat inzwischen die BSI-Warnstufe Rot. (Bild: Joe Raedle/Getty Images)

Wohl wegen der sehr großen Tragweite der Log4J-Lücke (CVE-2021-44228) warnt das Bundesamt für Sicherheit in der Informationstechnik (BSI) inzwischen mit der höchsten Warnstufe "4/Rot" vor der Log4J-Lücke. Weiter heißt es: "Das Ausmaß der Bedrohungslage ist aktuell nicht abschließend feststellbar." Das BSI warnt außerdem eindrücklich davor, dass die Lücke bereits aktiv ausgenutzt werde, etwa für Kryptominer oder andere Schadsoftware.

Stellenmarkt
  1. Berater Krankenhausinformationssystem (KIS) Neueinführungen (m/w/d)
    Helios IT Service GmbH, Berlin-Buch, deutschlandweit
  2. Partner & Business Operations Manager (w/m/d) OZG-Umsetzung
    HanseVision GmbH, Hamburg
Detailsuche

Anders als bisher angenommen gilt inzwischen auch die Version 1 von Log4J unter bestimmten Umständen als verwundbar für den Angriff, nicht nur Version 2. Die Version 1 wird jedoch seit einigen Jahren nicht mehr offiziell gepflegt und ist End-of-Life (EOL).

Tragweite immer noch nicht absehbar

Das Unternehmen Cloudflare und andere vergleichen die Log4J-Lücke, die mittlerweile auch als Log4Shell bezeichnet wird, mit Heartbleed oder Shellshock. Immerhin ist möglicherweise ein Großteil der Server im Internet betroffen. Das BSI schreibt dazu: "Diese kritische Schwachstelle hat demnach möglicherweise Auswirkungen auf alle aus dem Internet erreichbaren Java-Anwendungen, die mit Hilfe von Log4j Teile der Nutzeranfragen protokollieren."

Betroffen ist auch das besondere elektronische Anwaltspostfach (BeA). Dieses ist derzeit nicht verfügbar, wie die Betreiber mitteilen. Auch darin kommt Log4J zum Einsatz. Dazu heißt es: "Die Schwachstelle kann durch Anpassung einer Konfiguration behoben werden. Wir sind aktuell dabei, diese für alle BeA-Komponenten möglichst schnell durchzuführen." Das betrifft auch den Client, der mit Version 3.9.0.7 bereits ein Update für die Lücke enthält.

Cloudflare durchsucht sämtliche Java-Instanzen

Golem Akademie
  1. Unreal Engine 4 Grundlagen: virtueller Drei-Tage-Workshop
    28. Februar–2. März 2022, Virtuell
  2. Data Engineering mit Apache Spark: virtueller Zwei-Tage-Workshop
    25.–26. April 2022, Virtuell
Weitere IT-Trainings

Es ist oftmals schwer herauszufinden, welche Anwendungen Log4J etwa als Abhängigkeit benutzen. In seinem Unternehmensblog beschreibt Cloudflare exemplarisch sein Vorgehen dazu. Demnach hat das Unternehmen einfach sämtliche seiner JVM-Instanzen untersucht und herausgefunden, dass seine Instanzen von "Elasticsearch, Logstash und Bitbucket" verwundbar gewesen seien.

Inzwischen gibt es auch zahlreiche eigene Sicherheitshinweise von Herstellern auf die Lücke. Dazu gehören Apache Kafka, Broadcom, Cisco, F-Secure, Netapp, Sophos, Unifi oder auch VMware. Auf Github werden einige zahlreiche weitere Anwendungen sowie auch Webdienste als verwundbar beschrieben.

Log4J als Hobby gepflegt

Zu dem Projekt Log4J selbst verweist die Apache Software Foundation, unter deren Dach Log4J angesiedelt ist, darauf, dass zwei Betreuer dafür über Github Sponsors finanziert werden können. Dabei handelt es sich um Ralph Goers und Gary Gregory, die beide als Teil der Projektleitung von Log4J gelistet werden. Vollzeit arbeiten sie aber offenbar nicht an der Pflege des Werkzeugs.

  • Der Angriff über log4J-Lücke ermöglich die Ausführung von Code auf den betroffenen Servern. (Grafik: Govcert.ch)
Der Angriff über log4J-Lücke ermöglich die Ausführung von Code auf den betroffenen Servern. (Grafik: Govcert.ch)

So schreibt Goers auf seiner Github-Sponsors-Seite: "Ich habe derzeit einen Vollzeitjob als Software-Architekt. In meiner Freizeit arbeite ich an Log4j und anderen Open-Source-Projekten." Dass eine derart weit verbreitete Open-Source-Software schlecht gepflegt wurde, war auch zum Zeitpunkt der Heartbleed-Lücke in OpenSSL der Fall.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


kevla 14. Dez 2021 / Themenstart

Versteh ich nicht. Wäre die Würdigung nun angebracht oder nicht? Falls ja, macht die...

narfomat 14. Dez 2021 / Themenstart

ich denke GENAU SO wird es sein, denn wenn es SLAs gäbe, würde der ext. betreuer wohl...

demon driver 14. Dez 2021 / Themenstart

Ok, mag sein... Zumal, soweit ich Einblick dort habe, die Tendenz der letzten ein, zwei...

mnementh 13. Dez 2021 / Themenstart

Und was bedeutet Copyleft? Geld für die Entwickler? Nein. Es bedeutet exakt was ich...

traxanos 13. Dez 2021 / Themenstart

weil wieder dämliche menschen dachten, dass wäre sinnvoll logik in ein modul zu bauen...

Kommentieren



Aktuell auf der Startseite von Golem.de
Fernwartung
Der Kundenansturm, der Teamviewer nicht gut getan hat

Wie schätzt man die weitere Geschäftsentwicklung ein, wenn die Kunden in der Pandemie plötzlich Panikkäufe machen? Das gelang bei Teamviewer nicht.
Ein Bericht von Achim Sawall

Fernwartung: Der Kundenansturm, der Teamviewer nicht gut getan hat
Artikel
  1. Pluton in Windows 11: Lenovo will Microsofts Sicherheitschip nicht aktivieren
    Pluton in Windows 11
    Lenovo will Microsofts Sicherheitschip nicht aktivieren

    Die neuen Windows-11-Laptops kommen mit dem Chip Pluton. Lenovo will diesen aber noch nicht selbst aktivieren.

  2. Netzneutralität: Google und Meta verteidigen sich gegen Telekom-Vorwürfe
    Netzneutralität
    Google und Meta verteidigen sich gegen Telekom-Vorwürfe

    Die beiden großen Internetkonzerne Google und Meta verweisen im Gespräch mit Golem.de auf ihren Beitrag zur weltweiten Infrastruktur wie Seekabel und Connectivity.

  3. Probefahrt mit BMW-Roller CE 04: Beam me up, BMW
    Probefahrt mit BMW-Roller CE 04
    Beam me up, BMW

    Mit futuristischem Design und elektrischem Antrieb hat BMW ein völlig neues Fahrzeug für den urbanen Bereich entwickelt.
    Ein Bericht von Peter Ilg

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • RTX 3070 989€ • The A500 Mini Retro-Konsole mit 25 Amiga-Spielen vorbestellbar 189,90€ • RX 6800 16GB 1.129€ • Intel Core i9 3.7 459,50€ Ghz • WD Black 1TB inkl. Kühlkörper PS5-kompatibel 189,99€ • Switch: 3 für 2 Aktion • RX 6700 12GB 869€ • MindStar (u.a. 1TB SSD 69€) [Werbung]
    •  /