Log4shell/Log4j-Sicherheitslücke

Lesezeit: ca. 3 Minuten

Am 10. Dezember 2021 hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) erstmals vor der Sicherheitslücke Log4Shell in Java-basierten Applikationen gewarnt (CVE-2021-44228). Bereits kurze Zeit nach dem Bekanntwerden der Schwachstelle hat das BSI die Warnstufe von Orange auf Rot hochgesetzt – das soll den Ernst der Lage deutlich machen.Die Schwachstelle Log4Shell befindet sich in der weitverbreiteten Open Source Java-Logging-Bibliothek Log4j, die auf zahlreichen Servern und in vielen Anwendungen eingesetzt wird. Sie dient dazu Anwendungsmeldungen zu protokollieren und auch auszuwerten. Angreifer können die Schwachstelle dazu nutzen, um eigenen Java Code einzuschleusen und den Server oder die Anwendung zu übernehmen. In der Folge können beispielsweise Daten abfließen, während der Zugriff für den eigentlichen Betreiber gesperrt ist.

Zero-Day-Lücke in Log4j

Das Katastrophale an Log4Shell ist, dass es sich hier um eine Zero-Day-Lücke handelt. Davon ist die Rede, wenn eine Schwachstelle im Untergrund bekannt ist – und die Anwender und die Hersteller der betroffenen Produkte erst dadurch von der Sicherheitslücke erfahren, wenn bereits Angriffe stattfinden. Man spricht praktisch vom „Tag Null“, sobald die Schwachstellen öffentlich bekannt werden und ab diesem Zeitpunkt ein Wettrennen entsteht – zwischen den Herstellern, die die Schwachstelle beseitigen müssen, und immer mehr Angreifern, die sich auf die Lücke stürzen. Besonders gefährlich ist in diesem Fall, dass diese Sicherheitslücke sehr einfach ausgenutzt werden kann.

pixabay_JanBaby_security-2168234_1920_Blog

Die Schwachstelle Log4Shell kann Java-Anwendungen unsicher machen. Bild: JanBaby/pixabay

Welche Reichweite Log4Shell hat, lässt sich an dieser inoffiziellen Liste auf Github ablesen: Log4shell 

Log4j bei TCI

Bei TCI gibt es nur eine Anwendung, welche die Bibliothek Log4j verwendet – der TCI WebWizard. Hier sind die Kollegen bereits dabei, einen Fix vorzubereiten. Die betreffenden Kunden wurden bereits informiert.

Weitere Systeme sind nicht betroffen. Die Anwendungssoftware MicroBrowser (Touchpanels mit XS-Technik) und AutomationBrowser nutzen diese Bibliothek nicht. Die gilt ebenso für die Systeme mit dem Betriebssystem Android wie beispielsweise das F16T-XI. Auch dort ist die betreffende Logging-Bibliothek nicht im Einsatz.

Imagebild-E10T-IP-Schutz

Das IP54-Touchpanel E10 ist ebenfalls nicht betroffen. Bild: TCI GmbH

Die pureKNX-Systeme für die Gebäudetechnik sind ebenfalls ohne Java realisiert und damit sicher.

Allgemeines Risiko

Das genaue Ausmaß der Bedrohungslage lässt sich noch nicht genau feststellen. Da es sich um eine Open Source Bibliothek handelt, können deren Funktionen in einem Gerät oder System enthalten sein, ohne dass das auf einen Blick erkennbar ist. Als Endanwender ist man darauf angewiesen, dass die Hersteller von Geräten und Servern und die Anbieter von Onlinediensten schnellstmöglich ihre Systeme updaten bzw. für verkaufte Geräte wie Router oder Server entsprechende Updates zur Verfügung stellen. Natürlich ist es wichtig, dass Sie als Anwender verfügbare Updates auch installieren. Für weitere Informationen können Sie den Bürger-CERT-Newsletter abonnieren.

Wenn Sie als Entwickler oder Administrator selber Log4j nutzen, sollten Sie schnellstmöglich ein Update auf die aktuelle Version 2.16.0 von Log4j durchführen.

Generell empfehlen wir Ihnen die Seiten des BSI oder auch von heise online im Auge zu behalten, damit Sie laufend informiert sind und entsprechend reagieren können.

Geposted von Gerhard Bäurle am 22.12.2021

Marketing / PR bei tci GmbH | Gerhard Bäurle arbeitet als "schreibender Ingenieur" für tci. Er ist in der Welt der elektrischen Automatisierung zuhause und betrachtet Technologie auch immer aus dem Blickwinkel der Anwender. Aus dieser Sicht bringt er Technik in eine verständliche Form. Das gilt für Presseartikel und Anwenderberichte ebenso wie für Vorträge und Kundengespräche auf Fachmessen.
Folge mir auf :

Zurück zum Blog