Kritische "Log4Shell" Schwachstelle in Protokollierungsbibliothek Log4j: Unterschied zwischen den Versionen
Aus windata WIKI
(Die Seite wurde neu angelegt: „= Allgemein = Log4j wird in vielen Java-Anwendungen eingesetzt. Die Gefahr einer aktiven, breiten Ausnutzung ist durch die Verfügbarkeit eines PoC und die Va…“) |
|||
(8 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
Zeile 1: | Zeile 1: | ||
+ | = Beschreibung = | ||
+ | Das BSI hat am 13.12.2021 sowie am 14.12.2021 Informationen zur "Kritische Schwachstelle in log4j" veröffentlicht: https://www.bsi.bund.de/DE/Home/home_node.html | ||
+ | |||
= Allgemein = | = Allgemein = | ||
Log4j wird in vielen Java-Anwendungen eingesetzt. Die Gefahr einer aktiven, breiten Ausnutzung ist durch die Verfügbarkeit eines PoC und die Variation der möglichen schadhaften Zeichenketten als "sehr hoch" zu bewerten. Hinzu kommt, dass das Patchmanagement von Java-Anwendungen nicht trivial ist, sodass bis zu einer Update-Möglichkeit die kurzfristigen Mitigationen dringend empfohlen werden. Aktuell gibt es keine vollständige Liste aller Produkte, die diese Bibliothek in einer verwundbaren Version einsetzen, so dass zum jetzigen Zeitpunkt nicht abgeschätzt werden kann, welche Produkte von der Schwachstelle betroffen sind. Das BSI stuft die aktuelle IT-Bedrohungslage für Geschäftsprozesse und Anwendungen als extrem kritisch ein (Stufe "Rot"). | Log4j wird in vielen Java-Anwendungen eingesetzt. Die Gefahr einer aktiven, breiten Ausnutzung ist durch die Verfügbarkeit eines PoC und die Variation der möglichen schadhaften Zeichenketten als "sehr hoch" zu bewerten. Hinzu kommt, dass das Patchmanagement von Java-Anwendungen nicht trivial ist, sodass bis zu einer Update-Möglichkeit die kurzfristigen Mitigationen dringend empfohlen werden. Aktuell gibt es keine vollständige Liste aller Produkte, die diese Bibliothek in einer verwundbaren Version einsetzen, so dass zum jetzigen Zeitpunkt nicht abgeschätzt werden kann, welche Produkte von der Schwachstelle betroffen sind. Das BSI stuft die aktuelle IT-Bedrohungslage für Geschäftsprozesse und Anwendungen als extrem kritisch ein (Stufe "Rot"). | ||
+ | |||
+ | = Spring4Shell = | ||
+ | |||
+ | Am 31.03.2022 hat u. a. heise online auf eine weitere Sicherheitslücke im Zusammenhang mit Java hingewiesen: '''[https://www.heise.de/news/Verwirrung-um-kritische-Sicherheitsluecke-im-Umfeld-des-Spring-Framework-6658510.html Spring4Shell]''' | ||
= Bewertung für windata-Programme = | = Bewertung für windata-Programme = | ||
− | + | Alle windata-Programme sind ohne den Einsatz von Java entwickelt. Aus diesem Grund sind alle windata-Programme vollständig nicht von diesen Schwachstellen betroffen. | |
+ | |||
+ | = Fazit = | ||
+ | '''Für windata-Programme sowie konfipay besteht kein Handlungsbedarf.''' | ||
+ | |||
+ | [[Category:FAQ]] |
Aktuelle Version vom 6. April 2022, 12:11 Uhr
Beschreibung
Das BSI hat am 13.12.2021 sowie am 14.12.2021 Informationen zur "Kritische Schwachstelle in log4j" veröffentlicht: https://www.bsi.bund.de/DE/Home/home_node.html
Allgemein
Log4j wird in vielen Java-Anwendungen eingesetzt. Die Gefahr einer aktiven, breiten Ausnutzung ist durch die Verfügbarkeit eines PoC und die Variation der möglichen schadhaften Zeichenketten als "sehr hoch" zu bewerten. Hinzu kommt, dass das Patchmanagement von Java-Anwendungen nicht trivial ist, sodass bis zu einer Update-Möglichkeit die kurzfristigen Mitigationen dringend empfohlen werden. Aktuell gibt es keine vollständige Liste aller Produkte, die diese Bibliothek in einer verwundbaren Version einsetzen, so dass zum jetzigen Zeitpunkt nicht abgeschätzt werden kann, welche Produkte von der Schwachstelle betroffen sind. Das BSI stuft die aktuelle IT-Bedrohungslage für Geschäftsprozesse und Anwendungen als extrem kritisch ein (Stufe "Rot").
Spring4Shell
Am 31.03.2022 hat u. a. heise online auf eine weitere Sicherheitslücke im Zusammenhang mit Java hingewiesen: Spring4Shell
Bewertung für windata-Programme
Alle windata-Programme sind ohne den Einsatz von Java entwickelt. Aus diesem Grund sind alle windata-Programme vollständig nicht von diesen Schwachstellen betroffen.
Fazit
Für windata-Programme sowie konfipay besteht kein Handlungsbedarf.