Sicherheitslücke in Log4j Software veröffentlicht.

Seit dem Wochenende ist eine Sicherheitslücke in der verbreiteten Software „Log4j“ veröffentlicht worden.

Das BSI hat bezüglich dieser Sicherheitslücke die Warnstufe „Rot“ / Kritisch definiert.
https://www.bsi.bund.de/DE/Service-Navi/Presse/Pressemitteilungen/Presse2021/211211_log4Shell_WarnstufeRot.html

Bei Log4j handelt es sich um eine beliebte Protokollierungsbibliothek für Java Anwendungen und dient zur performanten Aggregation von Protokolldaten.
Wenn diese Sicherheitslücke ausgenutzt wird, kann es zu einer Kompromittierung des Systems kommen.

Wir haben die Meldung, damit verbundene Verbindungen zu Herstellern unter Beobachtung und beziehen uns im Folgenden auf die Herstelleraussagen hierzu.

Produkt / Hersteller Betroffen?
Sophos Nein
WatchGuard Nein
KEMP Nein
LANCOM Nein
HP Nein
Ubiquiti Die Sicherheitslücke betrifft das Management Interface.
(Bei allen von uns betreuten Umgebungen ist dies nicht vom Internet aus erreichbar.)
AVM Nein

Primär betrifft diese Sicherheitslücke Webserver und betrifft daher Systeme, welche über das Internet von Extern erreichbar sind.

Dies sind z.B. der jeweilig in Verwendung befindliche Router / die Firewall, der Mailserver „Microsoft Exchange“. Bei den von uns primär in Verwendung befindlichen Geräten der Hersteller AVM, LANCOM, Sophos und WatchGuard sind die Geräte laut Hersteller-Aussage nicht von der Sicherheitslücke betroffen.

Wir halten Sie auf den Laufenden.