Das Bundesamt für Sicherheit in der Informationstechnik (BSI) schlägt Alarm wegen einer neu entdeckte Sicherheitslücke in Server-Software, welcher weltweit Server, Open-Source- und kommerzieller Softwareprodukte im Netz bedroht. Diese Sicherheitslücke wird inzwischen auch mit der CVE-Nummer CVE-2021-44228 bezeichnet.

Die Sicherheitslücke, in einem auf vielen Computern verbreiteten Software-Modul Log4j, führt nach Einschätzung des Bundesamts für Sicherheit in der Informationstechnik (BSI) zu einer “extrem kritischen Bedrohungslage”.

Log4j ist dafür da, diverse Ereignisse wie z.B. die Auswertung von Fehlern im Server-Betrieb wie in einem Logbuch festzuhalten. Die Schwachstelle kann schon durch die Speicherung einer bestimmten Zeichenfolge aktiviert werden. Letzteres bereitet den Experten große Sorge.
Aber nicht nur Server und viele Online-Systeme sind von dieser Sicherheitslücke betroffen – auch QR-Scanner, kontaktlose Türschlosser und ähnliche Systeme könnten angegriffen werden, wenn sie Java und Log4j benutzten. So wird dieses Logging-Werkzeug Log4J auch bei Minecraft und viele weitere (Spiele)-Anwendungen eingesetzt.

Die BSI setzte deshalb seine Warnstufe zu der Sicherheitslücke im Logging-Bibliothek Log4j von Orange auf Rot hoch.

Da es bereits weltweit, zum Teil erfolgreiche Angriffsversuche gegeben hat ist das Ausmaß der Bedrohungslage aktuell nicht abschließend feststellbar.

Eine gute Nachricht gibt es dennoch.

Für die betroffenen Versionen der quelloffenen Log4j-Bibliothek gibt es inzwischen ein Update. Allerdings greift sein Schutz erst, wenn Dienstebetreiber es installieren.