Log4j

Zero Days sind wie Überraschungseier: Man weiß nie, was drin ist, aber es ist immer spannend. (Bild: Image by Alexa from Pixabay) (Image by Alexa from Pixabay)

Zero-Day-Exploits: Wie Hacker IT-Systeme knacken

Hacker lieben sie wie Kinder Überraschungseier: Zero-Days wie CVE-2025-33053. Wie funktionieren solche Angriffe und wie kann man sich schützen?

Kommentare / Ein Ratgebertext von Steffen Strunz

Copilot Autoscan ist ab sofort in Github Advanced Security verfügbar. (Bild: Github) (Github)

Github: Schwachstellen im Code dreimal schneller beheben

Mit Copilot Autofix führt Github eine Funktion ein, die Entwicklern das Auffinden und die Behebung von Fehlern deutlich erleichtern soll.

7 Kommentare

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Workshops und Weiterbildungen: Mit Power Apps und Power Automate zu Power-Produktivität

zum Artikel

Karriere Ratgeber: Wer krank zur Arbeit geht, zahlt wochenlang dafür

zum Ratgeber

Seminar: Source Code Management und CI / CD: virtueller Drei-Tage-Workshop

zum Kurs

E-Learning: Microsoft 365 Security Administrator Associate (E-Learning)

zum Kurs

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)

Revisor/-in / Prüfungsleitung Ausrichtung IT, Informationssicherheit und Projektmanagement (m/w/d) – ohne Reisetätigkeit – VBL. Versorgungsanstalt des Bundes und der Länder, Karlsruhe (öffnet im neuen Fenster)

IT-Spezialist ERP-Schnittstellen (m/w/d) A.T.U Auto-Teile-Unger GmbH & Co. KG, Weiden,Home Office (öffnet im neuen Fenster)

Entwicklungsingenieur Automatisierungstechnik (m/w/d) WEBER GmbH, Worms (öffnet im neuen Fenster)

Systemadministrator (m/w/d) Martin Hartl Elektro-Fachgroßhandel GmbH, Freising (öffnet im neuen Fenster)

IT-System- und Application-Management im Rahmen des Lower Saxony Digital Science Support Space (DS^3) (Entgeltgruppe 13 TV-L, 100 %) Universität Osnabrück, Osnabrück (öffnet im neuen Fenster)

Senior Network Engineer Universität Hamburg, Hamburg (öffnet im neuen Fenster)

ERP-Administrator (m/w/d) Martin Hartl Elektro-Fachgroßhandel GmbH, Freising (öffnet im neuen Fenster)

ERP-Consultant (m/w/d) Martin Hartl Elektro-Fachgroßhandel GmbH, Freising (öffnet im neuen Fenster)

Das Sicherheitskonzept der Kommunikation im Medizinwesen (KIM) (Bild: Friedhelm Greis/Golem.de) (Friedhelm Greis/Golem.de)

Kommunikationsdienst KIM: Die gar nicht so sicheren Ärzte-E-Mails

37C3 Eigentlich sollen sensible Gesundheitsdaten über verschlüsselte E-Mails ausgetauscht werden. Doch Forscher fanden einen "GAU" in der Public-Key-Infrastruktur.

13 Kommentare / Ein Bericht von Friedhelm Greis

Viele Java-Anwendungen sind anfällig für bekannte Log4j-Schwachstellen. (Bild: pixabay.com / PublicDomainPictures) (pixabay.com / PublicDomainPictures)

Fehlende Upgrades: Mehr als jede dritte Anwendung mit Log4j ist angreifbar

Viele Entwickler meiden Upgrades verwendeter Drittanbieter-Bibliotheken. Anwendungen bleiben dadurch oft anfällig für bekannte Schwachstellen.

33 Kommentare

Die Bug-Bountys von Google gibt es künftig auch für Abhängigkeiten. (Bild: Google) (Google)

Angular, Go und Bazel: Google erweitert Bug-Bounty-Programm auf OSS-Abhängigkeiten

Um die sogenannte Supply-Chain besser abzusichern, verteilt Google Bug-Bountys für seine Open-Source-Projekte und deren Abhängigkeiten.

Kommentare

Das Parkleitsystem in Frankfurt am Main ist offenbar komplett offline. (Bild: Yann Schreiber/AFP via Getty Images) (Yann Schreiber/AFP via Getty Images)

Wegen Log4J: Frankfurter Parkleitsystem muss händisch verwaltet werden

Statt die Log4J-Lücke zu patchen, hat die Frankfurter Verwaltung das Parkleitsystem offline genommen.

32 Kommentare

Java in einem Container sollte eigentlich abgeschottet sein, bei AWS ging das aber schief. (Bild: Jakub Porzycki via Reuters Connect) (Jakub Porzycki via Reuters Connect)

Log4J: AWS-Patch für Log4Shell ermöglicht Root-Rechte

Der Cloud-Hoster AWS hat schnell auf die Log4J-Lücke reagiert. Forscher konnten nun aber gravierende Fehler in den Hotpatches zeigen.

Kommentare

OpenSSL, Log4J,: Googles Domain-Registrierung in Deutschland verfügbar

Kurznews Was am 16. März 2022 neben den großen Meldungen sonst noch passiert ist, in aller Kürze.

1 Kommentare

E-Learning: Linux Administration: Skripte, Container und Automatisierung (E-Learning)

zum Kurs

Seminar: Microsoft 365 Copilot Administration: virtueller Ein-Tages-Workshop

zum Kurs

Seminar: Advanced Python – Advanced Programming Techniques: 3-Day Virtual Seminar (English)

zum Kurs

Seminar: LDAP Identitätsmanagement Fundamentals: virtueller Drei-Tage-Workshop

zum Kurs

Mit Curl hat Daniel Stenberg eine der am häufigsten verwendeten Open-Source-Bibliotheken entwickelt. (Bild: Daniel Stenberg/Wikimedia Commons) (Daniel Stenberg/Wikimedia Commons)

Open Source: "Antworten Sie innerhalb von 24 Stunden"

Die E-Mail eines großen Konzerns an den Entwickler von Curl zeigt wohl eher aus Versehen, wie problematisch das Verhältnis vieler Firmen zu Open-Source-Software ist.

95 Kommentare

Google will eine Zusammenarbeit mit der Politik, um Software besser abzusichern. (Bild: Hannah McKay/File Photo/Reuters) (Hannah McKay/File Photo/Reuters)

Nach Log4J: Google will zusammen mit Regierungen Open Source absichern

Seit langem sucht Google nach Wegen, Open-Source-Software besser abzusichern. Nach der Log4J-Lücke kommen nun auch Regierungen ins Spiel.

14 Kommentare

AWS, Mozilla, Fairphone 4: Weltweit dünnste Laptop-Kamera trifft Firefox 96

Kurznews Was am 11. Januar 2022 neben den großen Meldungen sonst noch passiert ist, in aller Kürze.

Kommentare

Sicherheitslücken sollen zuerst bei der chinesischen Regierung gemeldet werden. (Bild: Chickenonline/Pixabay) (Chickenonline/Pixabay)

Log4shell: Alibaba hätte Log4J-Lücke schneller an China melden müssen

Update Die chinesische Regierung wirft Alibaba aus einem Sicherheitsgremium, weil es die Log4j-Scherheitslücke nicht zeitnah an die Behörde gemeldet hat.

40 Kommentare

Die Log4J-Lücke könnte das Java-Ökosystem noch über Jahre begleiten, vermutet Google. (Bild: Robert Galbraith/Reuters) (Robert Galbraith/Reuters)

Log4Shell: Mehrheit der Java-Pakete hat noch kein Log4J-Update

Die Log4Shell-Lücke betrifft das Java-Ökosystem ungewöhnlich stark, analysiert Google. Unterdessen werden neue Log4J-Lücken bekannt.

Kommentare

Javas Log4J-Bibliothek ist unsicher. (Bild: Pixabay) (Pixabay)

Wochenrückblick: Warnstufe Rot

Golem-Wochenrückblick Eine Sicherheitslücke in Java lässt sich nicht so leicht flicken: die Woche im Video.

2 Kommentare

Woher der Begriff Acid eigentlich kommt, ist etwas unklar. (Bild: Montage: Golem.de) (Montage: Golem.de)

Podcast Besser Wissen: 303 für alle!

Seit Jahrhunderten fragen sich die Menschen, wie weit die Sterne eigentlich entfernt sind. (Bild: Public Domain / Montage: Golem.de) (Public Domain / Montage: Golem.de)

Podcast Besser Wissen: Wie messen wir Entfernungen im Weltraum?

Der VC20 sollte besonders einsteigerfreundlich sein. (Bild: Public Domain / Montage: Golem.de) (Public Domain / Montage: Golem.de)

Podcast Besser Wissen: Volkscomputer - der erste Millionär

Auch eine Strickanleitung ist eine Art Algorithmus. (Bild: Pixabay / Montage: Golem.de) (Pixabay / Montage: Golem.de)

Podcast Besser Wissen: Wie geht Informatik für die moderne Hausfrau?

Der K.I.T.T. von Andreas sieht sehr originalgetreu aus. (Bild: Martin Wolf/Golem.de) (Martin Wolf/Golem.de)

Podcast Besser Wissen: Der eigene K.I.T.T.

Podcast Besser Wissen: Wie man freie Software betreut

Das Java-Werkzeug Log4J betrifft auch Behörden und Verwaltung sowie deren IT-Dienstleister. (Bild: Pixabay) (Pixabay)

Log4Shell: Bundesland nimmt IT-Systeme wegen Log4J-Lücke offline

IT-Dienste des Landes Thüringen sind zwischenzeitlich offline gewesen. IT-Experten suchten nach Log4J, wie auch ihre Kollegen in anderen Behörden.

Kommentare

Die Lücke in der Java-Anwendung Log4J wird durch das Deaktivieren von JNDI wohl komplett geschlossen. (Bild: Pixabay) (Pixabay)

Log4J: Erstes Update für Log4Shell-Lücke nicht vollständig

Das Log4J-Team musste das Update für die Sicherheitslücke Log4Shell nachbessern. Die eigentliche Ursache des Fehlers steht nicht mehr bereit.

9 Kommentare

Kaffee verschüttet: Vorschnelle BSI-Entwarnung für Verbraucher (Bild: Manos) (Manos)

Log4J-Lücke: BSI gibt vorschnell Entwarnung für Verbraucher

Verbraucher seien von der Server-Sicherheitslücke Log4Shell nur indirekt betroffen, sagt das BSI. Diese Behauptung könnte gefährlich werden.

23 Kommentare / Ein IMHO von Boris Mayer

Die Lücke in der Java-Anwendung Log4J wird uns wohl noch sehr lange begleiten. (Bild: Joe Raedle/Getty Images) (Joe Raedle/Getty Images)

Log4J-Lücke: Warum Log4Shell so gefährlich ist und was (nicht) hilft

Für simple Vorkehrungen gegen die Log4J-Lücke ist es wohl schon zu spät. Warum eigentlich? Fragen und Antworten zu Log4Shell.

175 Kommentare / Eine Analyse von Sebastian Grüner,Moritz Tremmel,Boris Mayer

Die Lücke in der Java-Anwendung Log4J hat inzwischen die BSI-Warnstufe Rot. (Bild: Joe Raedle/Getty Images) (Joe Raedle/Getty Images)

Log4Shell: BSI vergibt höchste Warnstufe für Log4J-Lücke

Das Ausmaß der Log4J-Lücke ist laut BSI derzeit noch nicht absehbar. Und der Log4J-Maintainer wird für die Arbeit offenbar nicht bezahlt.

120 Kommentare

Die Java-Version von Minecraft ist von einer Sicherheitslücke betroffen, wie eventuell viele andere Anwendungen auch. (Bild: Microsoft) (Microsoft)

Java: Log4J-Lücke bedroht Minecraft und viele weitere Anwendungen

Das weit verbreitete Logging-Werkzeug Log4J lässt sich unter Umständen sehr leicht übernehmen. Betroffen ist auch Minecraft.

23 Kommentare

Wie es genau mit dem Anwaltspostfach weitergeht, ist im Moment nicht abzusehen. (Bild: Martin Wolf / Golem.de (Montage)) (Martin Wolf / Golem.de (Montage))

BeA: Noch mehr Sicherheitslücken im Anwaltspostfach

Das besondere elektronische Anwaltspostfach hat mehr als nur eine Sicherheitslücke. Die Probleme reichen von einer falschen Ende-zu-Ende-Verschlüsselung über Cross Site Scripting bis hin zu ROBOT und veralteten Java-Libraries. Dabei hat die Firma SEC Consult einen Sicherheitsaudit durchgeführt.

51 Kommentare / Von Hanno Böck

Die fünf Open-Source-Mythen

Black Duck über Open-Source-Software. Das US-Unternehmen Black Duck räumt auf - mit fünf Mythen, die rund um die Entwicklung freier Software entstanden sind. Die Erkenntnisse bezieht Black Duck aus eigenen Untersuchungen. Das Unternehmen bietet Lizenz-Management-Software an.

28 Kommentare

Kurse

Podcast Besser Wissen