Will man es harmlos ausdrücken, spukt wieder einmal ein neues Schreckgespenst durch die Security-Welt der IT. Die Java-Bibliothek log4j droht ein ernsthaftes Problem für unzählige Systeme und Programme zu werden (National Vulnerability Database -NVD- CVE-2021-44228). Betroffen sind die Java-log4j-Bibliotheken ab der Version 2.0.1 bis 2.14.x (Version 2.15.0 ist bereits gefixt, enthält aber weitere Sicherheitslücken, Version 1.x ist nicht betroffen). Mittlerweile steht auch die Version 2.16.0 zur Verfügung, welche unbedingt verwendet werden sollte. Ein Update auf die neueste Version ist, wo immer möglich, dringendst empfohlen.

Um Irrtümer zu vermeiden – die log4j ist eine Bibliothek der Apache Software Foundation (Open Source Software), die nicht automatisch von jeder Java-Version genutzt oder mitinstalliert wird. Um log4j auf die neueste Version zu bringen, reicht es daher nicht aus, einfach die neueste und aktuelle Java-Version zu installieren. Die aktuelle Version der log4j-Bibliothek finden Sie auf der Webseite von Apache.

Auch das BSI (Bundesamt für Sicherheit in der Informationstechnik) hat bereits am Wochenende die Warnstufe Rot ausgerufen (IT-Bedrohungslage 4). Dies bedeutet, dass die IT-Bedrohungslage als extrem kritisch eingestuft wird. Als Folge davon sind sowohl der Ausfall vieler Dienste als auch der Regelbetrieb nicht möglich.

Der Einsatz einer betroffenen Java-Version bedeutet nicht zwangsläufig, dass das Problem vorhanden ist. Das Programm oder das Gerät, das diese Versionen nutzt, muss auch die Protokoll-Funktion aktiviert haben. Wird diese Funktion nicht genutzt, ist man auf diesem Gerät oder System erstmal sicher. Das Problem dabei ist aber, dass man nicht einfach so überprüfen kann, ob die Java-Funktion verwendet wird oder nicht. Eine etwaige Protokollierung kann auch anders erfolgen und muss nicht zwangsweise über die Java-Bibliothek log4j laufen.

Um es kurz zu umschreiben: Die betroffenen Geräte oder Programme müssen nicht einmal selbst direkter Teil des Angriffs sein. Denn wird von einem System die Log-Funktion der Java-Bibliothek log4j eingesetzt, protokolliert diese nicht nur die Geschehnisse, sondern versucht den Protokolltext auch zu interpretieren. Dabei kann es sich um Software handeln, die zum Beispiel mit dieser Log-Bibliothek E-Mails protokolliert, wie etwa ein internes Ticketsystem.

Hier kann durch den Interpreter ein externer Server kontaktiert werden, von dem aus das Gerät Java-Code akzeptiert.

Eine genauere Analyse des Problems finden Sie auch bei den IT-Spezialisten von heise.de.