Zum Inhalt springen

Log4Shell – BSI warnt

Was uns mit der aktuellen Log4Shell-Problematik noch bevor steht, ist schwer absehbar. Die Sicherheitslücken sind auf jeden Fall ein massives Problem. Vor allem wenn Server kompromittiert und Schadsoftware offene Tore findet. Das BSI warnt und das sicherlich zurecht. Golem schreibt, dass Log4J als Hobby gepflegt wurde – https://www.golem.de/news/log4shell-bsi-vergibt-hoechste-warnstufe-fuer-log4j-luecke-2112-161734.html

Das ist nicht ganz ungewöhnlich und fällt immer erst dann auf die Füße, wenn es zu spät ist. Auch große Dienste wie Amazon, Apple oder Linkedin sind davon betroffen.

Log4Shell- was tun?

Was ist zu tun? Es ist fast ein wenig, wie mit einem zur Zeit kursierendem Virus. Man muss sich ganz schnell auf den aktuellen Stand bringen. News.Sophos.com shreibt hier dazu:

„Lizenzgeber Apache hat zu diesem Thema einen praktischen Sicherheitshinweis veröffentlicht. Sophos fasst außerdem noch einmal das Wichtigste zusammen:

  • Upgrade auf Apache Log4j 2.15.0. Wenn Sie Log4j verwenden, ist jede 2.x-Version von 2.14.1 und früher anscheinend standardmäßig anfällig. (Wenn Sie noch Log4j 1.x verwenden, ist ebenfalls ein Upgrade Pflicht, da es nicht mehr mit Updates versorgt wird).
  • Blockieren der Möglichkeit, dass JNDI Anfragen an nicht vertrauenswürdige Server stellt. Wenn Sie nicht aktualisieren können, aber Log4j 2.10.0 oder höher verwenden, können Sie den Konfigurationswert log4j2.formatMsgNoLookups auf true setzen, was das Ausgehen von LDAP und ähnlichen Abfragen von vornherein verhindert.
  • Überprüfung der verwendeten Java-Laufzeit. Der zugrunde liegende Java Build, den Sie nutzen, verhindert möglicherweise, dass dieser Fehler basierend auf seiner eigenen Standardkonfiguration ausgelöst wird. Apache listet beispielsweise Oracle Java 8u121 explizit als Schutz vor diesem RCE auf.“

» https://news.sophos.com/de-de/2021/12/12/java-schwachstelle-log4shell-was-passiert-ist-und-was-zu-tun-ist/

Das ist die technische Seite und als Privatnutzer? Natürlich können die Dienste von Servern betroffen sein. Am besten schaut man einfach auf die Seiten seiner Anbieter und prüft, ob es dazu Neuigkeiten gibt. Tun kann man da allerdings wenig. Es ist aber sicherlich ein Problem, das mit hoher Priorität bearbeitet wird. Eins fällt aber wieder auf: manche Software „gammelt“ und es ist immer wichtig, Aktualisierungen und Updates einzelner Software-Komponenten im Blick zu haben.

Schlagwörter:

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert