IT-Sicherheitsexperten schlagen Alarm bei einer Schwachstelle, die auf breiter Front Server im Netz bedroht. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) setzte gestern (11.12.) ihre Warnstufe zu dieser Sicherheitslücke von Orange auf Rot. Es gebe weltweit Angriffsversuche, die zum Teil erfolgreich gewesen seien, hieß es zu der Begründung unter anderem.
Die Schwachstelle steckt in einer vielbenutzten Bibliothek für die Software von Java. Die Sicherheitslücke kann dafür sorgen, dass Angreifer unter Umständen ihren Softwarecode auf den Servern ausführen können. So können sie dann ihre Schadsoftware dort laufen lassen. Die Schwachstelle ist auf einige Versionen der Bibliothek mit dem Namen „Log4j“ beschränkt. Doch es hat niemand den Überblick darüber, wo überall die gefährdeten Versionen von „Log4j“ genutzt werden.
Das BSI schränkte ein: „Aktuell ist noch nicht bekannt, in welchen Produkten diese Bibliothek eingesetzt wird, was dazu führt, dass zum jetzigen Zeitpunkt nicht abgeschätzt werden kann, welche Produkte von der Schwachstelle betroffen sind.“ Das BSI empfahl den Dienstanbietern: „Sofern die Hersteller Updates zur Verfügung stellen, sollten diese umgehend installiert werden.“
„Log4j“ ist eine sogenannte Logging-Bibliothek. Sie ist dafür da, diverse Ereignisse im Server-Betrieb wie in einem Logbuch festzuhalten, zum Beispiel für eine spätere Auswertung von Fehlern. Die Schwachstelle kann schon alleine dadurch aktiviert werden, dass in dem Log eine bestimmte Zeichenfolge gespeichert. Damit ist sie eher einfach auszunutzen, was den Experten große Sorgen macht. Aufgefallen ist das Problem am vergangenen Donnerstag (09.12.) auf Servern von „Minecraft“.
IT-Sicherheitsfirmen und Java-Spezialisten arbeiteten am Wochenende daran, diese Sicherheitslücke zu stopfen. Für die betroffenen Versionen der quelloffenen Log4j-Bibliothek gibt es inzwischen schon Updates.
Quelle: zdf.de
