Kritische Schwachstelle in Java-Bibliothek Log4j – CheckAud® nicht betroffen!

| Autor/in:hokomedia

Die kritische Schwachstelle (Log4Shell) in der weit verbreiteten Java-Bibliothek Log4j führt nach Einschätzung des BSI zu einer kritischen Bedrohungslage. Das BSI hat daher eine Cyber-Sicherheitswarnung der Warnstufe Rot veröffentlicht. Log4j ist eine beliebte Protokollierungsbibliothek für Java-Anwendungen. Sie dient der performanten Aggregation von Protokolldaten einer Anwendung.

Das Blog eines Dienstleisters für IT-Sicherheit [LUN2021] berichtet über die Schwachstelle CVE-2021-44228 [MIT2021] in log4j in den Versionen 2.0 bis 2.14.1, die es Angreifern gegebenenfalls ermöglicht, auf dem Zielsystem eigenen Programmcode auszuführen und so den Server zu kompromittieren. Diese Gefahr besteht dann, wenn log4j verwendet wird, um eine vom Angreifer kontrollierte Zeichenkette wie beispielsweise den HTTP User Agent zu protokollieren.

Diese kritische Schwachstelle hat demnach möglicherweise Auswirkungen auf alle aus dem Internet erreichbaren Java-Anwendungen, die mit Hilfe von log4j Teile der Nutzeranfragen protokollieren.

Wir möchten unsere Kunden an dieser Stelle darauf hinweisen, dass unsere Lösung CheckAud®und die verwendeten Komponenten nicht von dieser Sicherheitslücke betroffen sind. In CheckAud® sowie auch in den eingebundenen Komponenten kommt kein Java-Code zum Einsatz.

Beachten Sie bitte zudem, dass Java und JavaScript zwei getrennte Programmiersprachen sind. Hier kommt es häufig zu Verwechslungen. In der Übersicht der verwendeten Komponenten unter “Info über” in CheckAud® / CheckScan wird u. a. das Paket “Newtonsoft.Json (2007 James Newton-King)” gelistet. Dies ist eine Komponente welche lediglich Daten im Format “Javascript Object Notation” bereitstellt und kein JavaScript-Code oder Java-Code verwendet.

Es besteht also bezüglich des Einsatzes von CheckAud® kein weiterer Handlungsbedarf, um die Sicherheit Ihrer Systemlandschaft zu gewährleisten.

Quelle: https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Empfehlungen-nach-Angriffszielen/Webanwendungen/log4j/log4j_node.html