Onlime nicht betroffen von Log4Shell
Art | Techinfo |
---|---|
Status |
GESCHLOSSEN |
Zeitspanne |
14.12.2021, 17:59 CET |
Betroffen | - |
Details | Die unter dem Namen Log4Shell in den letzten Tagen bekannt gewordene 0-Day Vulnerability in der Java-Komponente Log4j hat an vielen Orten für Aufregung gesorgt. Da sich auch einige bekümmerte Kunden bei uns gemeldet haben, möchten wir hier etwas verzögert doch noch eine offizielle Entwarnung durchgeben: Nein, Onlime GmbH verwendet Log4j auf keinen Servern, weder in internen noch öffentlich verfügbaren Diensten. Wir und unsere Kunden sind folglich nicht von dieser Sicherheitslücke betroffen und waren es auch nie. Java-Applikationen gehören grundsätzlich nicht ins Portfolio von Onlime und wir verwenden auch intern keine Java-basierten Tools. Trotzdem, für die Interessierten unter euch, hier noch eine kurze Erklärung zu dieser Sicherheitslücke, welche unter CVE-2021-44228 veröffentlicht wurde: Die von der Apache Software Foundation entwickelte Bibliothek Log4j dient dem Logging von Meldungen in Anwendungen, welche in Java programmiert sind. Im Zusammenspiel mit dem Java Naming and Directory Interface (JNDI) lässt sie sich allerdings dazu missbrauchen, auf einem Server nahezu beliebigen Code auszuführen. Angreifer müssen hierfür lediglich eine Zeichenkette übermitteln, welche dem Format Apache hat mittlerweile Version 2.16.0 von Log4j veröffentlicht, in dieser ist die Schwachstelle behoben. Angesichts der Vielzahl der Webseiten, Dienste und Anbieter, welche die Bibliothek einsetzen, kann es allerdings einige Zeit dauern, bis die Sicherheitslücke weltweit geschlossen ist. Da die Java-Komponente zudem in zahlreichen IoT-Geräten wie Video-Überwachungssystemen oder auch WLAN-Routern zu finden ist, dürfte die Gefahr noch länger bestehen. Viele derartige Devices erhalten erfahrungsgemäß nur sehr schleppend Updates, wenn überhaupt. |