Log4j ist eine beliebte Protokollierungsbibliothek für Java-Anwendungen. Sie dient der performanten Aggregation von Protokolldaten einer Anwendung. Diese wird beispielsweise in Produkten von Atlassian, Google, HCL, IBM, Microsoft, Red Hat und Talend verwendet. Hier wurde nun eine kritische Sicherheitslücke entdeckt.
Was ist passiert?
Updates zu log4j Sicherheitslücken in Atlassian Produkten
Updates zu log4j Sicherheitslücken in Google Produkten
Updates zu log4j Sicherheitslücken in HCL Produkten
Updates zu log4j Sicherheitslücken in IBM Produkten
Updates zu log4j Sicherheitslücken in Microsoft 365 Produkten
Updates zu log4j Sicherheitslücken in Red Hat Produkten
Updates zu log4j Sicherheitslücken in Talend Produkten
Was heißt das für Sie?
Diese kritische Schwachstelle hat demnach möglicherweise Auswirkungen auf alle aus dem Internet erreichbaren Java-Anwendungen, die mithilfe von log4j Teile der Nutzeranfragen protokollieren. Es gibt Proof-of-Concept-Code, der das Ausnutzen der Lücke demonstriert und auch bereits erste Angriffe. Seit Kurzem steht ein Quellcode-Update des Apache-Projekts bereit; Admins sollten dringend aktiv werden. Ein Proof of Concept demonstriert die Schwachstelle (weitere Informationen auf den Seiten des BSI).
Wir haben bereits erste Angriffe bei Kunden entdeckt. Admins müssen dringend aktiv werden.
Unsere Experten prüfen Ihre Systeme und beheben die log4j Schwachstelle
Mit Workarounds und Update-Skripten können wir die log4j Schwachstelle schließen und Ihre Systeme absichern