Titelbild. Text: Vaira nicht betroffen. Sicherheitslücke in log4j-Bibliothek

Log4j Sicherheitslücke: worum geht’s? – Vaira ist sicher!

Am Freitag wurde eine Sicherheitslücke in der Protokollierungsbibliothek für Java-Anwendungen „log4j“ bekannt. Sie sorgt in den Nachrichten und bei Unternehmen derzeit für Aufsehen. Gestern, am 12. Dezember, rief das Bundesamt für Sicherheit in der Informationstechnik sogar die höchste Gefahrenstufe aus. Betroffen sind auch große Unternehmen wie Amazon, Apple und Tesla. Wir können aber beruhigen: Vaira nutzt log4j nicht und ist daher nicht betroffen.

Was ist log4j?

Log4j ist eine kostenfrei nutzbare Bibliothek für Java-Anwendungen. Ohne hier zu sehr in die Tiefe zu gehen, kann man sich eine Bibliothek allgemein als eine Art „fertigen Baustein“ vorstellen, den man in seine Software einbindet und sie dadurch mit wenig Aufwand erweitern kann. In der Entwicklung von Programmen ist der Austausch von Codes und Bibliotheken gängige Praxis, um nicht jedes Mal ganz von vorn beginnen zu müssen.

Engagierte Entwicklerinnen und Entwickler programmieren Code, laden ihn auf Kooperations-Plattformen wie Github hoch und pflegen diesen bestenfalls auch längerfristig durch Updates. Andere Personen können Kommentare an diesen Code anbringen, ihn bewerten und so zur Weiterentwicklung beitragen. Das sorgt neben einer Optimierung des Codes gleichzeitig auch dafür, dass Probleme frühzeitig erkannt und behoben werden können.

Log4j ist eines dieser Projekte, das seit 1996 kostenfrei zur Verfügung steht und das seit Längerem bereits von der Apache Software Foundation betreut wird gepflegt wird. Zahlreiche namhafte Unternehmen nutzen diese Bibliothek in ihren Systemen. Der Baustein ermöglicht es, Meldungen von Java-Anwendungen (also Programmen in der Programmiersprache Java) zu protokollieren und zum Beispiel in einer Log-Datei auszugeben. Da es sich hier um eine Basis-Funktion handelt, ist sie entsprechend weit verbreitet.

Was ist das Problem? – „log4shell“

Das Sicherheitsproblem wurde log4shell (oder auch: „log4bash“) getauft. Um auch hier nicht zu technisch zu werden: über die Sicherheitslücke können Angreifende Code auf deinem Rechner ausführen.

Die Angreifenden machen sich die Protokollierung durch log4j zunutze. Sie geben zum Beispiel in einem Anmeldeformular statt ihrer E-Mail-Adresse einen Programm-Code ein. log4j möchte diesen Fehler dann protokollieren, es fehlt aber eine wichtige Sicherheitsschranke. So wird der eingegebene Befehl nicht einfach als Text abgespeichert, sondern vom Server ausgeführt. Durch dieses Vorgehen kann der Angreifende die Sicherheitstüren von Systemen umgehen und anschließend aus der Ferne weiteren Code ferngesteuert ausführen.

Bereits seit Anfang Dezember scheint diese Lücke in einschlägigen Kreisen bekannt gewesen und ausgenutzt worden zu sein. Das Problem ist dabei, dass nicht nur direkt Schaden angerichtet werden kann, sondern sich Angreifende auch längerfristig Hintertüren in Systemen einbauen können, die erst Wochen oder Monate später ausgenutzt werden. Neben dem Einspielen von Schadsoftware und dem Auslesen von Daten gilt auch das heimliche Kryptomining als mögliche Gefahr dieses Hacks. Dabei nutzen die Angreifenden die Rechenleistung des Rechners, um im Hintergrund nach Kryptowährungen wie Bitcoin zu schürfen.

Was sollte ich jetzt tun?

Grundsätzlich gilt wie immer: jegliche Software aktuell halten. Die log4j-Bibliothek hat bereits ein Update erhalten, durch das die Sicherheitslücke geschlossen wurde. Allerdings heißt das nicht automatisch, dass das Update auch in Programme übernommen wird, die die Bibliothek nutzen. Alle Entwicklerinnen und Entwickler werden dieses Update erst manuell in ihre Software einspielen müssen, bevor diese dann an Endkunden verteilt wird. In den nächsten Tagen wird es vermehrt Updates geben, in denen betroffene Programme um das Update der Bibliothek erweitert werden. Diese solltest du auf jeden Fall durchführen.

Was bedeutet das für Vaira?

Wir sind von dieser Sicherheitslücke nicht betroffen, da wir log4j nicht nutzen.

Meldung des Bundesamts für Sicherheit und Informationstechnik

Liste aktuell bekannter betroffener Softwares und Unternehmen

Weitere Beiträge