Aktionen

Kritische "Log4Shell" Schwachstelle in Protokollierungsbibliothek Log4j: Unterschied zwischen den Versionen

Aus windata WIKI

Zeile 8: Zeile 8:
 
= Spring4Shell =
 
= Spring4Shell =
  
Am 31.03.2022 hat u. a. heise online auf eine weitere Sicherheitslücke im Zusammenhang mit Java hingewiesen: [https://www.heise.de/news/Verwirrung-um-kritische-Sicherheitsluecke-im-Umfeld-des-Spring-Framework-6658510.html Spring4Shell]
+
Am 31.03.2022 hat u. a. heise online auf eine weitere Sicherheitslücke im Zusammenhang mit Java hingewiesen: [https://www.heise.de/news/Verwirrung-um-kritische-Sicherheitsluecke-im-Umfeld-des-Spring-Framework-6658510.html Spring4Shell]''''
  
 
= Bewertung für windata-Programme =
 
= Bewertung für windata-Programme =

Version vom 6. April 2022, 11:10 Uhr

Beschreibung

Das BSI hat am 13.12.2021 sowie am 14.12.2021 Informationen zur "Kritische Schwachstelle in log4j" veröffentlicht: https://www.bsi.bund.de/DE/Home/home_node.html

Allgemein

Log4j wird in vielen Java-Anwendungen eingesetzt. Die Gefahr einer aktiven, breiten Ausnutzung ist durch die Verfügbarkeit eines PoC und die Variation der möglichen schadhaften Zeichenketten als "sehr hoch" zu bewerten. Hinzu kommt, dass das Patchmanagement von Java-Anwendungen nicht trivial ist, sodass bis zu einer Update-Möglichkeit die kurzfristigen Mitigationen dringend empfohlen werden. Aktuell gibt es keine vollständige Liste aller Produkte, die diese Bibliothek in einer verwundbaren Version einsetzen, so dass zum jetzigen Zeitpunkt nicht abgeschätzt werden kann, welche Produkte von der Schwachstelle betroffen sind. Das BSI stuft die aktuelle IT-Bedrohungslage für Geschäftsprozesse und Anwendungen als extrem kritisch ein (Stufe "Rot").

Spring4Shell

Am 31.03.2022 hat u. a. heise online auf eine weitere Sicherheitslücke im Zusammenhang mit Java hingewiesen: Spring4Shell'

Bewertung für windata-Programme

Alle windata-Programme sind ohne den Einsatz von Java entwickelt. Aus diesem Grund sind alle windata-Programme vollständig nicht von diesen Schwachstellen betroffen.

Fazit

Für windata-Programme sowie konfipay besteht kein Handlungsbedarf.