Start:
Am Wochenende hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) ebenso wie viele andere Institutionen eindringlich vor einer Sicherheitslücke in einer Java Komponente gewarnt, die weit verbreitet und in viele andere Produkte integriert ist.
Dabei führt ein Fehler bei der Formatierung von Log-Meldungen dazu, dass diese direkt auf dem System ausgeführt werden können. Für diese Lücke gibt es inzwischen automatisierte Angriffe, sodass alle Dienste und Software-Produkte, in denen die Log4j-Komponente in einer Version vor 2.15.0 enthalten und entsprechend konfiguriert ist, akut gefährdet sind.
Als RRZE prüfen wir die Verwundbarkeit zentraler Dienste und Produkte, so weit diese von uns gewartet werden.
Die Frage, ob ein bestimmter Software-Dienst verwundbar ist, lässt sich aber nicht pauschal beantworten. Folgende Listen können ein erster Anhaltspunkt sein, um Aussagen der Hersteller zur Verwundbarkeit zu finden: NCSC-NL/log4shell / BlueTeam CheatSheet Log4Shell
Die Listen erheben aber keinen Anspruch auf Vollständigkeit und gerade wenn es dort keine Aussage für eine bestimmte Software gibt, ist das kein Grund zur Entwarnung. Die betroffene Komponente wird sehr häufig in den verschiedensten Softwareprojekte eingesetzt und oft wird auch nicht das vom Betriebssystem zur Verfügung gestellte Log4j-Paket eingebunden sondern eine Kopie der Komponente direkt mit der Software ausgeliefert.
Wenn Software verwundbar ist, deren Herstellen kein Update und keinen Workaround zur Verfügung stellen, dann setzen Sie sich gerne mit uns in Verbindung (acl@fau.de), damit wir den Netzzugriff auf den Dienst einschränken können, bis ein entsprechendes Update verfügbar und installiert ist.
Sollte Ihnen irgendeine Form von Missbrauch der Computer- und Netzwerk-Ressourcen an der Friedrich-Alexander-Universität Erlangen-Nürnberg auffallen, informieren Sie bitte umgehend die für IT-Sicherheit zuständige Stelle am RRZE:
