LOG4J Sicherheitslücke JAVA

In Servern und Serverdiensten, die auf der Programmiersprache basieren (nicht Javascript!), gibt es eine Bibliothek namens zum Protokollieren von Informationen. Manche Software-Produkte verwenden diese Bibliothek. Ist diese Bibliothek nicht auf dem neusten Stand von November 2021 (kleiner als Version 2.15), können Angreifer Kontrolle über den darunter liegenden Server erlangen. Betroffen sind somit Linux-, Unix- und Windows Server – sofern Sie einen JAVA-basierten Serverdienst mit der Bibliothek nutzen.

Die vielfach verwendeten Uqibiti WLAN-Access Points der amerikanischen Firma Unifi. Die Controller-Software, um ganze WLAN-Netzwerke zu verwalten, lässt sich auf einer Hardware-Appliance, unter Linux oder unter Windows (-Server) als Dienst betreiben. Nur mit Version 6.5.54 ist die Lücke geschlossen. Firmware-Updates bzw. Software-Updates sind unbedingt erforderlich. Als Runtime kann Adoptium eingesetzt werden.

Seccommerce, der Anbieter von Digitalen Signatur-Lösungen (z.B. E-Rechnung mit digitaler Signatur gegen Fake E-Mails) hat veröffentlicht, dass sie kein LOG4J einsetzen in deren Server-Softareprodukten – und am Client Adoptium JRE unterstützen.

Handlungsbedarf

  1. Ermitteln Sie den Software-Bestand auf Ihren Servern und Endgeräten (Windows und Linux), sowie auf Hardware-Appliances (wie Kamera-Servern, Zeiterfassungs-Software und Diensten auf Servern). Hierbei kann Open-Audit (audit und nmap scan) hilfreich sein.
  2. Nehmen Sie mit den Herstellern der Software Kontakt auf, und/oder prüfen, ob es aktuelle Versionen oder Firmware Updates gibt.
  3. Führen Sie diese Updates durch (oder lassen sie vom Anbieter durchführen).

Ein Leben ohne JAVA ist möglich (und nicht sinnlos)

Ungeachtet der oben genannten Schritte gilt: Wenn möglich und geprüft, JAVA Runtimes komplett deinstallieren oder den Hersteller fragen, ob sich Adoptium Temurin Runtime einsetzen lässt. Hier gibt es regelmäßig Sicherheitsupdates.

Verwandte Beiträge
Java-Alternativen
Wer nur eine #Java Runtime benötigt, um damit in Java entwickelte Programme lokal betreiben zu wollen, kann die #openJDK Java
Java wird kostenpflichtig
Oracle ändert Lizenzbedingungen von Java für Firmen: Ab Januar 2019 werden alle Java-Versionen größer als Version 8 Update 192 kostenpflichtig
JAVA – kostenlose Alternative
Seit April 2019 (und Java Version 8 Update 211) dürfen Geschäftskunden #JAVA nur noch verwenden, wenn Sie über eine aktive
Crypto-Angriffe – wenn nur noch eine Datensicherung hilft
Wenn ein #Crypto #Angriff erfolgt, ist trotz technischer Sicherungsmaßnahmen meist ein Mitarbeiter Schuld, der auf Links oder Anhänge klickt, die nicht das
Windows Print Nightmare Lücken – geschlossen
Updates verfügbar: 07.07.2021 Microsoft hat außerplanmäßig das Update KB5004945 und andere Updates bereitgestellt. Stand 8.7. auch für Server 2016 und alte Windows 10
Neulich in Outlook
Wie der "Kudnenservice" der Sparkasse mitteilt, ist es unbedingt erforderlich, auf den Link in der E-Mail zu klicken. Durch das
Über den Autor:

Patrick Bärenfänger ist seit rund 30 Jahren in der IT-Branche tätig und TÜV-geprüfter IT-Security Manager und -Auditor. Er beschäftigt sich mit der Gestaltung von Internet-Auftritten, Entwicklung von Web-Anwendungen, Mobilität, Fahrzeug-Multimediatechnik, neuer Software und Hardware. Windows und android sind seine Welt.

Kommentare

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht.